3.7 ディレクトリ抽象化レイヤプロパティのリファレンス

この項では、次の抽象化レイヤノードのプロパティの定義について説明します。

3.7.1 エンティティのプロパティ

エンティティには次の種類のプロパティを設定できます。

エンティティのアクセスプロパティ

アクセスプロパティは、ユーザアプリケーションがエンティティと対話する方法を制御します。

メモ:アクセスプロパティには、[DAL]>[グローバルアクセスの設定]の順にクリックしてアクセスすることもできます。

表 3-6 エンティティのアクセスプロパティ

プロパティ名

説明

作成

選択した場合、ユーザアプリケーションでこのオブジェクトを作成できます。

編集

選択しない場合、基になるACLに関係なく、ユーザアプリケーションではこのオブジェクトを変更できません。

選択した場合、このオブジェクトは場合によって編集できます。識別ボールトのACLを使用して編集可能かどうかを決定します。

表示

選択した場合、ユーザアプリケーションでこのオブジェクトを表示できます。

削除

選択した場合、ユーザアプリケーションでこのオブジェクトを削除できます。

エンティティの一般プロパティ

表 3-7 エンティティの一般プロパティ

プロパティ名

説明

キー

エンティティの固有識別子です。このオブジェクトをユーザアプリケーションで参照する方法を定義します。エンティティの作成時に定義され、エンティティの作成後は変更できません。

表示ラベル

ユーザインタフェースでオブジェクトを\'95\'5c示する方法を定義します。

クラス名

eDirectoryオブジェクトクラスの名前です。

LDAP名

LDAPオブジェクトクラスの名前です。

検索に含める

選択した場合、ユーザアプリケーションでこのエンティティを検索できます。識別ポートレット(エンティティ検索リストやエンティティ組織図など)のクエリで使用されるエンティティを選択(Trueに設定)する必要があります。

エンティティの補助プロパティ

表 3-8 エンティティの補助プロパティ

プロパティ名

説明

補助クラス

このエンティティの補助クラスのリストです。補助クラスは存在しない場合もあります。補助クラスを追加する場合、次の項目を定義するよう指示されます。

  • 補助クラス。使用できるクラスのリストから選択します。

  • 検索可能にするかどうか。検索可能(True)に設定すると、ディレクトリ抽象化レイヤ関係に関わるLDAP検索にフィルタが適用されます。たとえば、ユーザエンティティに補助クラスを追加し、その補助クラスを検索可能に設定した場合、マネージャと従業員の関係を使用した組織図には、その補助クラスを持つ従業員だけが表示されます。

  • 常に追加するかどうか。Trueに設定(選択)した場合、ユーザアプリケーションでエンティティが変更されると、オブジェクトクラスが自動的に追加されます。変更には、作成操作と更新操作が含まれます。Falseに設定すると、この補助クラスに関連付けられている属性が変更された場合にのみ、オブジェクトクラスが追加されます。

エンティティの検索プロパティ

表 3-9 エンティティの検索プロパティ

プロパティ名

説明

検索コンテナ

検索が開始されるLDAPノードまたはコンテナの識別名(検索ルート)。例: 

ou=sample,o=ourOrg

識別ボールトをブラウズしてコンテナを選択できます。または、事前定義パラメータの使用で説明されている事前定義パラメータの1つを使用できます。

検索スコープ

検索ルートから始まる検索の範囲を指定します。次の値があります。

<デフォルト>: この検索スコープは、[コンテナとサブコンテナ]を選択した場合と同じです。

コンテナ: 検索ルートDNと検索ルートレベルのすべてのエントリが検索されます。

コンテナとサブコンテナ: 検索ルートDNとすべてのサブコンテナが検索されます。これは[<デフォルト>]を選択した場合と同じです。

オブジェクト: 指定したオブジェクトに検索範囲を限定します。この検索は、指定したオブジェクトが存在しているか確認するために使用されます。

検索の制限時間[ms]

値をミリ秒単位で指定します。制限時間を指定しない場合は0を指定します。

最大検索エントリ

検索で返される検索結果エントリの最大数を指定します。ランタイム設定を使用する場合は0を指定します。推奨値: 100~200の範囲に設定すると最も効率的です。1000より高い値は設定しないでください。

自動クエリの実行

選択した場合、エンティティの自動クエリが実行され、結果が選択可能リストに表示されます。大量のデータが返される場合は、ユーザが長い結果セットをスクロールしなければならなくなるため、このオプションを選択しないでください。

選択しない場合、ユーザがエンティティクエリの検索条件を指定できます。結果は選択可能リストに表示されます。

エンティティの作成プロパティ

表 3-10 エンティティの作成プロパティ

プロパティ名

定義

コンテナの作成

このタイプの新しいエンティティが作成されるコンテナの名前。

識別ボールトをブラウズしてコンテナを選択できます。または、事前定義パラメータの使用で説明されている事前定義パラメータの1つを使用できます。

この値を指定していない場合は、作成ポートレットで、新しいオブジェクトのコンテナを使用するよう促すメッセージがユーザに表示されます。ポートレットではエンティティ定義で指定された検索ルートが基準として使用され、ユーザは検索ルートからドリルダウンできます。エンティティ定義で検索ルートが指定されていない場合は、ユーザアプリケーションのインストール時に指定されたルートDNが使用されます。

ネーミング属性の作成

エンティティの名前付け属性です。これは相対識別名(RDN)です。エンティティでアクセスパラメータCreateが選択されている場合だけ、この値が必要です。

LDAP属性

ネーミング属性の作成]のLDAP属性です。

名前付きラベルの作成

ユーザアプリケーションで[ネーミング属性の作成]に表示される表示ラベルです。

エンティティのパスワード管理プロパティ

表 3-11 エンティティのパスワード管理プロパティ

プロパティ名

定義

エンティティを作成するときにはパスワードが必要です。

パスワード属性が必要な場合、この属性をTrueに設定(選択)して、作成ポートレットでユーザにパスワードを要求します。パスワードが必要な場合、ワークフローでこのエンティティを作成できません。

事前定義パラメータの使用

ディレクトリ抽出化層エディタでは、特定の値に対して事前定義パラメータを使用できます。

表 3-12 事前定義パラメータ

事前定義パラメータ

説明

%driver-root%

プロビジョニングドライバのDNを表します。この値はインストール時、あるいはその後の設定時にユーザアプリケーションの設定の中で指定されます。これはユーザアプリケーションのレルム設定に保存されます。

%user-root%

ユーザコンテナDNを表します。この値はインストール時、あるいはその後の設定時にユーザアプリケーションの設定の中で指定されます。これはユーザアプリケーションのレルム設定に保存されます。

%group-root%

グループコンテナDNを表します。この値は、インストール時、あるいはその後の設定時にユーザアプリケーションの設定の中で指定されます。これはユーザアプリケーションのレルム設定に保存されます。

3.7.2 属性のプロパティ

属性には次の種類のプロパティを設定できます。

属性のアクセスプロパティ

メモ:あるエンティティのすべての属性の属性アクセスを設定するには、[DAL]>[属性アクセスの設定]の順にクリックするか、またはエンティティを右クリックし、[属性アクセスの設定]をクリックします。

表 3-13 属性のアクセスプロパティ

名前

説明

編集

選択した場合、この属性をユーザアプリケーションで編集および変更できます。このプロパティを選択(Trueに設定)しても、基になる識別ボールトのACLや有効な権利で編集が禁止されている場合は、この属性を編集できないことがあります。

有効にする

選択していない場合、ユーザアプリケーションでこの属性を使用できなくなります。ファイルからエントリを削除するのと同じです。

非表示

ユーザアプリケーションの[非表示]チェックボックスを有効にするか無効にするかを制御します。ユーザは[非表示]チェックボックスを使用して、属性(ユーザの写真など)をアプリケーションで表示するかどうかを制御できます。

選択していない場合、この属性に対して[非表示]チェックボックスが無効になるため、ユーザはこの属性を非表示にできません。

選択した場合、ユーザアプリケーションで[非表示]チェックボックスが有効になります。ただし、ログインユーザは次の条件を満たしている必要があります。

  • 属性の所有者、またはユーザアプリケーション管理者であること。

  • 識別ボールトのsrvprvHideAttributes属性を更新するトラスティ権を持っていること。

    これらの条件が満たされていなければ、この設定が選択(Trueに設定)されていても[非表示]チェックボックスはユーザインタフェースで無効になります。

ヒント:画像を含む属性を非表示にした場合でも、ブラウザのキャッシュが更新されるまで画像が表示されることがあります。

[検索]プロパティと[非表示]プロパティは相互に排他的です。[非表示]を選択(Trueに設定)した場合、同時に[検索]を選択(Trueに設定)することはできません。[検索]を選択(Trueに設定)した場合、同時に[非表示]を選択(Trueに設定)することはできません。

複数値

この属性が複数の値を持つかを指定します(電話番号など)。

選択した場合、属性は複数の値を持つことができます。

読み込み

このオプションを選択した場合、ユーザアプリケーションでこの属性を問い合わせることがきます。大部分の属性でこのプロパティを選択(Trueに設定)する必要がありますが、パスワードなど一部の属性では選択解除する必要があります。

必須

このオプションを選択した場合、この属性は入力が必須になります。

検索

このオプションを選択した場合、ユーザアプリケーションでこの属性を検索できます。識別ポートレット(エンティティ検索リストやエンティティ組織図など)、または要求フォームや承認フォームでクエリに使用される属性を選択する必要があります。

ヒント:検索で使用される属性もeDirectoryでインデックス化すると、検索が速くなります。

[検索]プロパティと[非表示]プロパティは相互に排他的です。[非表示]を選択(Trueに設定)した場合、同時に[検索]を選択(Trueに設定)することはできません。[検索]を選択(Trueに設定)した場合、同時に[非表示]を選択(Trueに設定)することはできません。

表示

このオプションを選択した場合、ユーザアプリケーションでこの属性を表示できます。大部分の属性でこのプロパティを選択する必要がありますが、パスワードなど一部の属性では選択解除する必要があります。要求フォームまたは承認フォームで指定する場合は、選択する必要があります。

属性の一般プロパティ

表 3-14 属性の一般プロパティ

プロパティ名

説明

キー

属性の固有の識別子です。

表示ラベル

ユーザアプリケーションで表示されるラベルです。

属性名

この属性のeDirectory名。

LDAP名

この属性のLDAP名。

属性のデフォルト値プロパティ

この値は、作成識別ポートレットまたはワークフローでオブジェクトが作成されるときに使用されます。デフォルト値は、リテラルまたはECMAScript式で表すことができます。デフォルト値を、計算される属性の一部として使用することはできません。ECMAScript式で定義した場合、式はランタイム時に解決されます。リテラルと式の両方を定義した場合、式が優先されます。

ヒント:作成ポートレットでデフォルト値を表示したい場合は、表示可能アクセスプロパティをTrueに設定(選択)する必要があります。ユーザが値を変更できるようにしたい場合は、編集可能プロパティをTrueに設定する必要があります。

属性のUI制御プロパティ

表 3-15 属性のUI制御プロパティ

プロパティ名

説明

データタイプ

次のリストからデータタイプを選択します。

  • バイナリ

  • ブール

  • DN

  • 整数

  • LocalizedString

  • 文字列

  • [時刻]

フォーマットタイプ

ユーザアプリケーションでデータをフォーマットするために使用されます。次のフォーマットタイプがあります。

  • なし

  • AOL IM

  • 電子メール

  • Groupwise IM

  • 画像

  • 電話番号

  • Yahoo IM

  • 画像URL

  • 日付

  • 日時

フォーマットタイプはデータタイプに依存しています。たとえば、時間のデータタイプは、「日付」と「日時」のフォーマットにのみ関連付けられます。

制御タイプ

次のタイプがあります。

DNLookup: この属性がDN参照を含むことを定義します。次の場合に使用します。

  • 関連するエンティティでのDN検索の結果をリストに入力する。

  • 更新や削除が行われた場合、複数のDN参照属性間の参照整合性を維持する。

  • オブジェクトセレクタダイアログボックスでこの属性を使用する。オブジェクトセレクタは、詳細ポートレットなどの特定の識別ポートレットで使用されます。また、プロビジョニング要求フォームおよび承認フォームに対して定義できるフォームコントロールでも使用できます。

ユーザアプリケーションはこの情報を使用して特別なユーザインタフェース要素(オブジェクトセレクタなど)を生成し、DNLookup定義に基づいて最適化された検索を実行します。

このプロパティの定義の詳細については、「属性およびDNLookupプロパティ」を参照してください。要求フォームと承認フォームのオブジェクトセレクタダイアログボックスの詳細については、「セクション 6.6.2, オブジェクトセレクタの操作」を参照してください。

グローバルリスト: この属性をドロップダウンリストとして表示します。リストの内容はこの属性定義以外のファイルで定義されます。選択したリストのグローバルリストエディタにアクセスするには、[一覧を表示]をクリックします。

詳細については、セクション 3.3, リストの操作を参照してください。

ローカルリスト: この属性をドロップダウンリストとして表示します。リストの内容はこの属性で定義されます。ローカルリストを定義するには、次の手順を実行します。

  1. 属性が選択された状態で、[制御タイプ]を[ローカルリスト]に設定します。

  2. ボタンを使用して、リストの項目を追加または削除します。リスト内の項目の位置を変更するには、上下の矢印ボタンを使用します。

    [値]列で、識別ボールトに書き込む値を入力します。使用できる文字は、英字、数字、およびアンダースコア(_)です。

  3. [ラベル]列で、ユーザインタフェースに表示するテキストを入力します。

範囲: [範囲]の制御タイプ(整数データタイプ)で、ユーザが入力できる値を連続した一定の範囲内に限定します。範囲の開始値と終了値を定義します。

属性およびDNLookupプロパティ

属性をDNLookup制御タイプとして定義すると、次のようになります。

  • この属性をオブジェクトセレクタダイアログボックスで使用すると、ユーザは、この属性を検索するときに、可能な値のリストから選択できます。

  • ユーザアプリケーションでこの属性が作成、入力、または削除されると、ユーザの操作(作成、削除、更新)に基づいて関連するエンティティの属性が適切に更新され、参照整合性が維持されます。

オブジェクトセレクタのDNLookup

特定の属性のDNLookup表示プロパティで、ユーザアプリケーションのオブジェクトセレクタの内容を定義します。オブジェクトセレクタは、Identityセルフサービスポートレット、およびワークフローの要求フォームと承認フォームで表示されます。ユーザはこれを使用して、DN(ユーザやグループなど)を表すオブジェクトを簡単に検索および選択できます。オブジェクトセレクタには属性のドロップダウンリストが表示されます。ユーザは、このリストから属性を選択して、その属性の検索条件を入力できます。次の例では、ユーザはグループの説明によってグループを検索します。

図 3-2 オブジェクトセレクタの例

ユーザが選択した検索の結果は次のようになります。

図 3-3 オブジェクトセレクタの結果例

DNLookup表示プロパティでは、オブジェクトセレクタの内容および結果セットを制御します。オブジェクトセレクタが、前に示したように表示されるのは、このオブジェクトセレクタがユーザエンティティのグループ属性に基づいていたためです。グループ属性は、次に示すように、DNLookup制御タイプとして定義されます。

図 3-4 グループのDNLookupの定義

この定義では、識別ポートレットでグループのリストをユーザに提供する方法も制御します。たとえば、あるユーザが、あるグループ内のユーザを見つけるためにディレクトリ検索を行う場合に、そのグループ名が不明であるとします。このユーザは、次のように、検索対象として[ユーザ]を選択し、検索条件として[グループ]を選択します。

図 3-5 検索条件

メンバー属性はユーザエンティティのDNLookupであるため、[ルックアップ]アイコンが表示されます。ユーザがこのアイコンを選択すると、グループの候補リストが表示されます。

図 3-6 オブジェクトのルックアップ

ユーザがグループを選択するときに、リストからグループを選択すると、そのグループのすべてのメンバーが表示されます。

メモ:[自動クエリの実行]プロパティが選択されていない(Falseに設定されている)場合、最初にユーザに表示されるオブジェクトセレクタには何も入力されておらず、ユーザは選択条件を入力する必要があります。前の例は、[自動クエリの実行]プロパティが選択(Trueに設定)されている場合に表示されるオブジェクトセレクタを示しています。

参照整合性のためのDNLookup

LDAPではグループ関係を両方向にマップできるため、更新や同期のためのDNLookupは重要です。たとえば、データは次のように設定されているかもしれません。

  • ユーザオブジェクトにグループ属性が含まれる。グループ属性は、複数の値を持ち、ユーザが属するすべてのグループを一覧表示します。

  • グループオブジェクトにユーザ属性が含まれる。グループ属性は、複数の値を持ち、グループに属するすべてのユーザを一覧表示します。

つまり、ユーザオブジェクトではユーザが属しているすべてのグループを示す属性を持つことができます。また、グループオブジェクトではグループ内のすべてのメンバーを含むDN属性を持つことができます。

ユーザが更新を要求した場合、ユーザアプリケーションは関係を遵守し、ターゲット属性とソース属性を同期させる必要があります。DNLookupでは、同期させる必要がある両方の属性を指定します。この手法を使用して、グループ構造のオブジェクトだけではなく、関連性のあるすべてのオブジェクトを同期させることができます。この種類のDNLookup制御タイプを作成するときは、「DNLookup関係整合性プロパティ」で説明されているDNLookupの詳細プロパティを指定します。

DNLookupプロパティのリファレンス

表 3-16 DNLookupの表示プロパティ

プロパティ名

説明

ルックアップエンティティ

検索するエンティティの名前です。たとえば、[ユーザ]エンティティに[マネージャ]の属性が含まれているとします。このフィールドに入力するには、どのユーザがマネージャかを知っている必要があります。

ルックアップ属性

検索の完了時に表示する属性を1つ以上選択します。

自動クエリの実行

ルックアップ属性の表示方法を定義します。

  • このオプションを選択した場合、フォームまたはポートレットで、エンティティの自動クエリが実行され、結果が選択可能リストに表示されます。大量のデータが返される可能性がある場合は、ユーザが長い結果セットをスクロールしなければならなくなるため、このオプションを選択することはお勧めしません。

  • このオプションを選択しない場合、ユーザがエンティティクエリの検索条件を指定できます。結果は選択可能リストに表示されます。

表 3-17 DNLookupの詳細プロパティ

プロパティ名

説明

詳細エンティティ

ユーザアプリケーションでユーザがハイパーテキストリンクをクリックして詳しい情報を要求した場合に、詳細を表示するエンティティのキーです。DNLookupを定義すると、識別ポートレットでハイパーテキストリンクを表示できるようになります。ユーザはこれを使用してリンク先のオブジェクトの詳細を表示できます。

DNLookup関係整合性プロパティは、グループとグループメンバーなど2つのオブジェクト間のデータを同期させるために使用されます。

表 3-18 DNLookupの関係整合性プロパティ

プロパティ名

説明

更新するソース属性

更新する属性の名前。属性には[更新するターゲット属性]へのDN参照が含まれている必要があります。これは2つの異なるオブジェクトの属性を同期させる場合に必要となります。

更新するターゲット属性

[更新するソース属性]と同時に更新が必要な属性の名前。これはLDAP属性名です。これは、2つの異なるオブジェクトの属性を同期させる場合に必要です。属性にDN参照が含まれている必要があります。

必要なターゲット補助クラス(存在する場合)

[更新するターゲット属性]を含む補助クラスの名前。

3.7.3 クエリのプロパティ

次の種類のクエリのプロパティを設定できます。

クエリの一般プロパティ

表 3-19 クエリの一般プロパティ

プロパティ名

説明

キー

クエリキーの固有値。この値は、式ビルダでクエリを識別するために使用されますこのキーは、クエリの作成時に指定されます。エンティティの作成後は変更できません。

クエリエンティティ

ドロップダウンリストからエンティティを選択します。結果として得られるLDAP検索は、このエンティティに対するものです。

表示ラベル

ディレクトリ抽象化レイヤエディタおよびプロビジョニングビューに表示する文字列を入力します。この値は、式ビルダには表示されません。

クエリパラメータのプロパティ

表 3-20 クエリパラメータのプロパティ

プロパティ名

説明

パラメータキー

キーの固有識別子。フォームでglobalQuery()メソッドを呼び出すときに、このキーを渡します。

パラメータ表示ラベル

キーを識別するラベル。

クエリ検索のプロパティ

空白のままにすると、クエリ検索プロパティのデフォルト設定は、選択されたエンティティで指定されている検索プロパティになります。エンティティですでに定義されている検索スコープをさらに絞り込む場合に、クエリ検索プロパティを指定します。クエリの検索プロパティの事前定義パラメータ(%user-root%など)は指定できません。

表 3-21 クエリ検索のプロパティ

プロパティ名

説明

検索ルート

クエリで定義されたLDAP検索を開始する、LDAPツリー内の場所を指定します。

検索スコープ

検索ルートから始まる検索の範囲を指定します。次の値があります。

<デフォルト>: この検索スコープは、[コンテナとサブコンテナ]を選択した場合と同じです。

コンテナ: 検索ルートDNと検索ルートレベルのすべてのエントリが検索されます。

コンテナとサブコンテナ: 検索ルートDNとすべてのサブコンテナが検索されます。これは<デフォルト>を選択した場合と同じです。

オブジェクト: 指定したオブジェクトに検索範囲を限定します。この検索は、指定したオブジェクトが存在しているか確認するために使用されます。

最大検索エントリ

検索で返される検索結果エントリの最大数を指定します。ランタイム設定を使用する場合は0を指定します。推奨値: 100~200の範囲に設定すると最も効率的です。1000より高い値は設定しないでください。

3.7.4 関係のプロパティ

次の関係プロパティがあります。

関係のアクセスプロパティ

表 3-22 関係のアクセスプロパティ

プロパティ名

説明

組織図で使用

選択した場合、組織図ポートレットでこの関係を使用できます。

チーム管理で使用

選択した場合、iManagerでプロビジョニングチームメンバーを定義する場合にこの関係を使用できます。

たとえば、マネージャと従業員の関係で[チーム管理で使用]が選択されている場合、プロビジョニングアプリケーションの管理者は、この関係を使用して、チームマネージャにレポートするすべてのユーザをチームメンバーとして定義できます。

[階層式関係を有効にする]が選択されている場合、組織内のいくつかのレベルをチームに含めることができます。 [階層の最高レベル]でレベル数を指定できます。

関係のプロパティ

表 3-23 関係のプロパティ

プロパティ名

説明

キー

関係の固有の識別子で、読み込み専用です。

ヒント:この値は組織図ポートレットの初期設定シートで指定します。

表示ラベル

ユーザアプリケーションでこの関係を表示するときに使用する名前を指定します。たとえば、詳細ポートレットでユーザが[組織図の選択]をクリックすると、この値が表示されます。

表示ラベルのテキストの翻訳を入力するには、[ローカライズ]をクリックします。

ソースエンティティ

ドロップダウンリストからエンティティを選択します。

選択したエンティティは、組織図の階層で親オブジェクトまたはソースオブジェクトになります。マネージャと従業員の関係では、[ソースエンティティ]は[ユーザ]です。グループとメンバーの関係では、[ソースエンティティ]は[グループ]です。

ディレクトリ抽象化レイヤ要件: このリストのエンティティはディレクトリ抽象化レイヤで定義されたエンティティのサブセットです。ソースエンティティでは、表示アクセスプロパティが選択(Trueに設定)されている必要があります。

ソース属性

ドロップダウンリストから属性を選択します。

この属性は、対応するターゲットエンティティの検索に使用されます。この属性値がターゲットエンティティの属性に含まれる対応した値と一致する場合(後の[ターゲット属性]を参照)、関係を確立できます。

ディレクトリ抽象化レイヤ要件: 属性リストは、選択したソースエンティティの属性を使用して入力されます。リストには、検索可能および読み込み可能なすべての属性が含まれます。

ターゲットエンティティ

階層内の子オブジェクトのエンティティを選択します。マネージャと従業員の関係では、ユーザです。

このエンティティには、ソース属性に関係した属性が含まれている必要があります。

ターゲット属性

ソース属性に一致する属性を選択します。

これは、対応するソースエンティティの検索に使用される、ターゲットエンティティの属性です。この属性値がソースエンティティに含まれる対応した値と一致する場合(前の[ソース属性]を参照)、関係を確立できます。

メモ:組織図ポートレットでは、ダイナミックグループは完全にはサポートされません。ダイナミックグループをソースエンティティとして定義することはできませんが、ターゲットエンティティとして定義することはできます。