iManagerのタスクを使用すると、電子メールサーバを指定したり、電子メール通知機能のテンプレートをカスタマイズしたりできます。
パスワード同期およびパスワードセルフサービスから自動化された電子メールをユーザに送信するために、電子メールのテンプレートが提供されています。
テンプレートは作成しません。テンプレートを使用するアプリケーションによって提供されます。電子メールテンプレートは、アイデンティティボールトのテンプレートオブジェクトで、通常は、ツリーのルートにあるセキュリティコンテナに配置されています。これはアイデンティティボールトブジェクトですが、iManagerを介してのみ編集する必要があります。
これは、モジュラフレームワークです。電子メールテンプレートを使用する新しいアプリケーションが追加された場合、テンプレートは、それを使用するアプリケーションとともにインストールできます。
iManagerでの選択に基づき、電子メールを送信するかどうかが制御されます。パスワードを忘れた場合、[ユーザにパスワードを電子メールで送信する]、または[ユーザにヒントを送信する]を選択した場合のみ、電子メール通知が送信されます。『Password Management Administration Guide』の「Providing Users with Forgotten Password Self-Service」を参照してください。
[電子メール経由でユーザにパスワード同期障害を通知する]を選択した場合、失敗したパスワード同期の操作のみ、および指定したドライバに対してのみ電子メールを送信するようにパスワード同期が設定されます。
図 5-16 パスワード同期の設定
SMTP認証情報がドライバポリシーに含まれていることも確認する必要があります。
この電子メールアドレスは、Identity ManagerのスクリプトポリシーのToフィールドに入力されている必要があります。詳細については、セクション 5.12.6, 電子メール通知の管理者への送信を参照してください。
これらのオブジェクトは、ルートのセキュリティコンテナにあります。つまり、サーバにはルートパーティションのレプリカが必要です。
iManagerで、[パスワード]>[電子メールサーバオプション]の順に選択します。
次の情報を入力します。
[OK]をクリックします。
Identity Managerドライバでパスワード同期を使用しており、電子メール通知機能を使用する場合は、次の作業も必要です。
電子メールを送信する前にSMTPサーバで認証が必要な場合、ドライバポリシーにパスワードが含まれていることを確認します。手順については、セクション 5.12.4, ドライバポリシーでのSMTP認証情報の提供を参照してください。
ステップ 2にある[電子メールサーバオプション]ページで指定する認証情報は、パスワードを忘れた場合の通知には十分ですが、パスワード同期の通知には不十分です。
変更に伴い更新する必要のあるIdentity Managerドライバを再起動します。
ドライバはテンプレートおよびSMTPサーバ情報を、起動時のみ読み込みます。
通知のための電子メールテンプレートの設定の説明に従い、電子メールテンプレートをカスタマイズします。
メッセージを送信する機能を使用する場合は、電子メールサーバの設定後、電子メールテンプレートを使用するアプリケーションから電子メールメッセージを送信できます。
テンプレートを独自のテキストでカスタマイズできます。テンプレートの名前は、使用目的を示します。
iManagerで、[パスワード]>[電子メールテンプレートの編集]の順に選択します。
必要に応じてテンプレートを編集します。
置換タグを追加する場合は、追加の作業が必要となることがあります。セクション 5.12.5, 電子メール通知テンプレートへの独自の置換タグの追加の指示に従います。
変更に伴い更新する必要のあるIdentity Managerドライバを再起動します。
ドライバはテンプレートおよびSMTPサーバ情報を、起動時のみ読み込みます。
セクション 5.12.2, 電子メール通知を送信するためのSMTPサーバの設定に従い、SMTPサーバのユーザ名およびパスワードを指定します。パスワードを忘れた場合の電子メール通知については、これで十分です。
ただし、パスワード同期の電子メール通知については、パスワードもドライバポリシーに含める必要があります。メタディレクトリエンジンはユーザ名にはアクセスできますがパスワードにはアクセスできないため、ドライバポリシーでパスワードを提供する必要があります。
次の条件に該当する場合は、この手順を実行する必要があります。
ドライバポリシーにSMTPサーバのパスワードを追加する
パスワード同期を使用するために必要なポリシーがドライバに含まれていることを確認します。
必要なポリシーは、サンプルのドライバ環境設定で提供されています。また、セクション 5.7, パスワード同期をサポートするための、既存のドライバ環境設定のアップグレードに従い、追加することもできます。
iManagerで、[Identity Manager]>[Identity Managerの概要]の順に選択します。
ドライバセットを検索するか、対象のドライバセットを含むコンテナを参照して選択します。
[Identity Managerドライバの概要]で、ドライバのアイコンをクリックします。
[入力変換]アイコンまたは[出力変換]アイコンを選択します。
ポリシーを選択し、[編集]をクリックします。
ルールをクリックします。
[テンプレートから電子メールを送信]アクションを含むルールで、SMTPサーバのパスワードを指定します。
たとえば、サンプルのドライバ環境設定を使用している場合、次のパスワード同期ポリシーを変更する必要があります。
次の図は、パスワードを必要とする[テンプレートから電子メールを送信]アクションの例を示します。
アイデンティティボールトに保存されている場合、パスワードは不明です。
ルールを選択し(確認マークを付け)、[OK]をクリックします。
電子メール通知テンプレートには、デフォルトで定義されているタグがいくつかあり、これらを使用すると、ユーザへのメッセージを簡単にパーソナライズできます。また、独自のタグを追加することもできます。
タグを追加できるかどうかは、電子メールテンプレートを使用するアプリケーションによって異なります。
パスワード同期の電子メール通知テンプレートには置換タグを追加できます。ただし、追加されたタグは、電子メール通知テンプレートを参照するすべてのパスワード同期ポリシールールに定義しないと使用できません。[テンプレートから電子メールを送信]アクションを使用する場合、テンプレート内で宣言される置換タグはすべて、アクションの子arg-strings要素で定義する必要があります。
たとえば、Identity Managerでは、電子メール通知テンプレートに含まれるデフォルトの置換タグを提供しています。Identity Managerでは、デフォルトのパスワード同期ポリシーも、ドライバ環境設定で提供されています。電子メールテンプレートで提供されるデフォルトのタグもそれぞれ、電子メールテンプレートが使用するパスワード同期ポリシーの各ルールで定義されています。
たとえば、UserGivenNameタグは、Password Set Failという名前の電子メールテンプレートで定義されているデフォルトのタグの1つです。[パスワードを取得できなかった場合に電子メールを送信する]という名前のポリシールールは、[テンプレートから電子メールを送信]アクションの電子メールテンプレートを参照します。パスワードの同期に失敗したときにユーザに通知する場合に、このルールがポリシーで使用されます。同じUserGivenNameタグは、そのルールでarg-string要素として定義されます。
この例のように、追加する新しい各タグは、電子メールテンプレートと、その電子メールテンプレートを参照するポリシールールの両方で定義する必要があります。これは、ユーザに電子メールを送信する場合に、メタディレクトリエンジンが置換タグの代わりに正しいデータを挿入する方法を認識できるようにするためです。
例として、Identity Managerに付属のIdentity Managerドライバ環境設定にあるタグを参照してください。
次のガイドラインに注意してください。
パスワードを忘れた場合のために電子メールテンプレートにタグを追加する場合とは異なり、アイデンティティボールトのユーザオブジェクトにある属性と同じ名前を持つタグを追加しただけでは、そのタグを使用できません。パスワード同期の電子メール通知テンプレートで使用するすべてのタグと同様に、電子メールテンプレートを参照するポリシーでも、タグを定義する必要があります。
eDirectoryユーザ属性に限定されている、パスワードを忘れた場合のための電子メールテンプレートにあるタグとは対照的です。
ポリシーにタグを定義するには、電子メール通知テンプレートを参照するポリシーすべてを検索し、ポリシービルダを使用してそれらにタグを追加します。各ポリシーで、テンプレートを参照する各ルールを編集します。
電子メール通知テンプレートを参照するポリシーをすべて確実に検索する1つの方法は、ドライバ環境設定をエクスポートし、XMLで電子メール通知テンプレートと同じ名前のテンプレートを持つdo-send-e-mailアクションを検索することです。
iManagerで、[Identity Manager]>[Identity Managerの概要]の順に選択します。
編集するポリシーのあるドライバを含むドライバセットを選択します。
編集するポリシーが設定されているドライバのアイコンをクリックします。
発行者チャネルまたは購読者チャネルで、編集するポリシーが含まれている一連のポリシーをクリックします。
たとえば、Identity Managerに付属しているeDirectoryドライバ用のドライバ環境設定には、パスワード同期の両方の電子メール通知テンプレートを参照する入力変換ポリシーセットのポリシーが含まれます。
ポリシーをクリックした後、[編集]をクリックします。
次の図は、eDirectoryドライバのPassword(Pub)-Sub Email Notifications (パスワード(発行者)-購読者の電子メール通知)ポリシーを編集する方法を示しています。
開かれたルールのリストから、電子メール通知テンプレートを参照するルールをクリックします。
たとえば、Password(Pub)-Sub Email Notifications (パスワード(発行者)-購読者の電子メール通知)ポリシーでは、このようなルールのリストが表示されます。これらのルールは両方とも、パスワード同期の電子メールテンプレートの1つを参照します。両方のテンプレートにタグを追加する場合は、両方のルールを編集する必要があります。
最初のルールをクリックすると、次のページが表示されます。
[アクション]セクションまでスクロールします。
[テンプレートから電子メールを送信]ルールを使用する場合は、[文字列を入力]フィールドの[参照ボタン]をクリックします。
[文字列ビルダ]が開きます。この例のルールでは、次の図のような文字列のリストが表示されます。電子メール通知テンプレートに使用されるデフォルトのタグは、このように、Identity Managerドライバ環境設定の一部であるパスワード同期ポリシーですでに定義されています。デフォルトのタグは、例として使用できます。
電子メール通知テンプレートで使用するタグを定義するには、[Append New String (新規文字列の追加)]をクリックし、タグの名前を入力します。
電子メール通知テンプレートで使用する名前と正確に一致する名前であることを確認してください。
[文字列の値]フィールドの[参照]ボタンをクリックすると、タグを簡単に定義できます。
[引数ビルダ]ページでは、電子メール通知テンプレートでこのタグを使用する場合にどの値を引用するかを指定します。
以下のタグを定義できます。
パスワードを忘れた場合のために電子メールテンプレートにタグを追加する場合とは異なり、アイデンティティボールトのユーザオブジェクトにある属性と同じ名前を持つタグを追加しただけでは、そのタグを使用できません。パスワード同期の電子メール通知テンプレートで使用するすべてのタグと同様に、電子メールテンプレートを参照するポリシーでも、タグを定義する必要があります。
次の図は、タグを定義する方法を示しています。
タグの定義が終了したら[OK]をクリックします。タグが[文字列ビルダ]ページに文字列の1つとして表示されます。
[OK]をクリックしてすべてのページを終了し、ポリシーの変更を保存します。
電子メール通知テンプレートを参照するすべてのポリシーのルールを編集するには、この手順を繰り返します。
ポリシーで定義したタグを電子メール通知テンプレートに追加します。ポリシーで使用した名前と完全に同じ名前を使用します。
これにより、電子メール通知テンプレートの本文で、タグの名前を使用できるようになります。
変更内容を保存して、ドライバを再起動します。
次のガイドラインに従い、パスワードを忘れた場合の電子メール通知テンプレートにタグを追加できます。
LDAP属性とeDirectory属性の名前の対応については、LDAPのIdentity Managerドライバのスキーママッピングポリシーを参照してください。
デフォルトの設定では、電子メール通知はユーザに対してのみ送信されます。Identity Managerに付属のポリシーでは、影響するユーザのアイデンティティボールトブジェクトの電子メールアドレスを使用します。
ただし、パスワード同期のポリシーでは、電子メール通知を管理者に対しても送信できるよう設定できます。設定するには、1つのポリシーのIdentity Managerスクリプトを変更する必要があります。
管理者の電子メールアドレスとトークンを定義し、管理者にブラインドコピーを送信します。
管理者にコピーを送信するには、電子メールを作成するポリシー(通知を送信するためにポリシーが電子メールアドレスを検索するPublishPasswordEmails.xmlなど)を変更し、追加の<arg-string>要素と管理者の電子メールアドレスを追加します。
次の例では、追加のarg-string要素を示しています。
<arg-string name="to">
<token-text>Admin@company.com</token-text>
</arg-string>
変更後、必ずドライバを再起動するようにしてください。
次のことに注意してください。
ForgottenPassword.MailEncoding=EUC-JP
この設定が存在しない場合、電子メール変換にエンコードは使用されません。
これらの要素の使用の詳細については、電子メールテンプレートについて説明している『DirXML Driver for Manual Task Service Implementation Guide』を参照してください。