A.1 ユーザアプリケーション環境設定: 基本パラメータ

図 A-1 ユーザアプリケーション環境設定の基本オプション

表 A-1 ユーザアプリケーション環境設定: 基本オプション

設定のタイプ

オプション

説明

eDirectory®接続設定

LDAPホスト

必須。LDAPサーバのホスト名またはIPアドレスと、そのセキュアポートを指定します。 たとえば、次のようにします。 

myLDAPhost

LDAP非セキュアポート

LDAPサーバの非セキュアポートを指定します。たとえば、「389」のように指定してください。

LDAPセキュアポート

LDAPサーバのセキュアポートを指定します。 たとえば、「636」のように指定してください。

LDAP管理者

必須。 LDAP管理者の資格情報を指定します。 このユーザは既に存在している必要があります。 ユーザアプリケーションは、このアカウントを使用して識別ボールドへの管理接続を行います。 この値は、マスタキーに基づいて暗号化されます。

ユーザアプリケーションの[管理]タブを使用してこの設定を修正しない限り、configupdateユーティリティを使用してこの設定を修正できます。

LDAP管理者パスワード

必須。 LDAP管理者パスワードを指定します。 このパスワードは、マスタキーに基づいて暗号化されます。

ユーザアプリケーションの[管理]タブを使用してこの設定を修正しない限り、configupdateユーティリティを使用してこの設定を修正できます。

パブリック匿名アカウントの使用

ログインしていないユーザに、LDAPパブリック匿名アカウントへのアクセスを許可します。

LDAPゲスト

ログインしていないユーザに、許可されたポートレットへのアクセスを許可します。 このユーザアカウントは、識別ボールトにすでに存在している必要があります。[LDAPゲスト]を有効にするには、[パブリック匿名アカウントの使用]の選択を解除する必要があります。[ゲストユーザ]を無効にするには、[パブリック匿名アカウントの使用]を選択します。

LDAPゲストパスワード

LDAPゲストパスワードを指定します。

セキュアな管理者接続

このオプションを選択すると、管理者アカウントを使用したすべての通信でセキュアソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに悪影響を及ぼすことがあります)。この設定を行うと、SSLを必要としない他の処理ではSSLを使用せずに処理を実行できるようになります。

セキュアなユーザ接続

このオプションを選択すると、ログインユーザのアカウントを使用したすべての通信でセキュアソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに悪影響を及ぼすことがあります)。この設定を行うと、SSLを必要としない他の処理ではSSLを使用せずに処理を実行できるようになります。

eDirectory DN

ルートコンテナDN

必須。 ルートコンテナのLDAP識別名を指定します。 これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。

プロビジョニングドライバDN

必須。 ユーザアプリケーションドライバの識別名を指定します (セクション 3.1, iManagerでのユーザアプリケーションドライバの作成で説明)。たとえば、ドライバがUserApplicationDriverでドライバセットの名前がmyDriverSetであり、ドライバセットがo=myCompanyのコンテキストにある場合は、次の値を入力します。

cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

ユーザアプリケーション管理者

必須。 指定されたユーザアプリケーションのユーザコンテナについての管理タスクを実行する権限のある、識別ボールト内の既存のユーザ。 このユーザは、ユーザアプリケーションの[管理者]タブを使用してポータルを管理できます。

ユーザアプリケーション管理者が、iManager、Novell Designer for identity Manager、またはユーザアプリケーション([要求と承認]タブ)に公開されているワークフロー管理タスクに参加する場合は、この管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を与える必要があります。詳細は、『ユーザアプリケーション: 管理ガイド』を参照してください。

ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[セキュリティ]ページを使用する必要があります。

ユーザアプリケーションをホストしているアプリケーションサーバをすでに起動している場合、この設定はconfigupdateを介して変更できません。

プロビジョニングアプリケーション管理者

プロビジョニングアプリケーション管理者は、[プロビジョニング]タブ([管理]タブの下)を使用して、プロビジョニングワークフロー機能を管理します。これらの機能は、ユーザアプリケーションの[要求と承認]タブでユーザが使用可能です。 このユーザは、プロビジョニングアプリケーション管理者に指定される前に、識別ボールトに存在する必要があります。

ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[セキュリティ]ページを使用する必要があります。

 

コンプライアンス管理者

コンプライアンスモジュール管理者はシステムの役割であり、メンバーはこの[コンプライアンス] タブのすべての機能が実行可能です。このユーザは、コンプライアンスモジュール管理者として指定される前に、識別ボールトに存在している必要があります。

configupdateの間、この値への変更は、有効なコンプライアンスモジュール管理者が割り当てられていない場合のみ反映されます。有効なコンプライアンスモジュール管理者が存在する場合は、変更は保存されません。

ユーザアプリケーションを展開した後でこの割り当てを変更するには、ユーザアプリケーションの[役割]>[役割の割り当て]ページを使用します。

eDirectory DN(続き)

役割管理者

この役割は、Novell Identity Manager Roles Based Provisioning Moduleで利用可能です。この役割を使用すると、そのメンバーはすべての役割の作成、削除、変更、およびユーザ、グループ、またはコンテナへの役割の付与または取り消しを行うことができます。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。

ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの[役割]>[役割の割り当て]ページを使用します。

configupdateの間、この値への変更は、有効な役割管理者が割り当てられていない場合のみ反映されます。有効な役割管理者が存在する場合は、変更は保存されません。

ユーザ コンテナDN

必須。 ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。 これにより、ユーザおよびグループの検索スコープが定義されます。 このコンテナ内(およびその下)のユーザが、ユーザアプリケーションにログインできます。

重要:ユーザによるワークフローの実行を可能とさせる場合は、ユーザアプリケーションドライバの設定中に指定したユーザアプリケーション管理者が、確実にこのコンテナに存在するようにしてください。

ユーザアプリケーションをホストしているアプリケーションサーバをすでに起動している場合、この設定はconfigupdateを介して変更できません。

グループコンテナDN

必須。 グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。

ディレクトリ抽象化レイヤ内のエンティティ定義で使用します。

ユーザアプリケーションをホストしているアプリケーションサーバをすでに起動している場合、この設定はconfigupdateを介して変更できません。

eDirectory証明書

キーストアパス

必須。 アプリケーションサーバが実行に使用しているのJDKのキーストア(cacerts)ファイルへのフルパスを指定するか、小さな参照ボタンをクリックしてcacertsファイルに移動します。

LinuxまたはSolarisでは、ユーザにはこのファイルへの書き込み許可が必要です。

キーストアパスワード/キーストアパスワードの確認

必須。 cacertsのパスワードを指定します。 デフォルトは、「changeit」です。

電子メール

通知テンプレートホストトークン

Identity Managerユーザアプリケーションをホストしているアプリケーションサーバを指定します。 たとえば、次のようにします。

myapplication serverServer

この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 作成されるurlは、プロビジョニング要求タスクと承認通知へのリンクです。

通知テンプレートポートトークン

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンの置き換えに使用されます。

通知テンプレートセキュアポートトークン

プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンの置き換えに使用します。

通知SMTP電子メール送信者:

プロビジョニング電子メール内のユーザから電子メールが送信されるように指定します。

通知SMTP電子メールホスト:

プロビジョニング電子メールを使用しているSMTP電子メールホストを指定します。 これは、IPアドレスまたはDNS名が可能です。

パスワード管理

外部パスワードWARの使用

この機能によって、外部の[パスワードを忘れた場合]のWarにある[パスワードを忘れた場合]ページと、外部の[パスワードを忘れた場合]のWARがWebサービスを経由してユーザアプリケーションを呼び戻すのに使用するURLを指定できます。

[外部パスワードWARの使用]を選択する場合は、[パスワードを忘れた場合のリンク]および[パスワードを忘れた場合の返信リンク]に値を指定する必要があります。

[外部パスワードWARの使用]を選択しない場合は、デフォルトの内部パスワード管理機能が使用されます。/jsps/pwdmgt/ForgotPassword.jsf(最初はhttp(s)プロトコルなし)。 これは、ユーザを、外部WARではなく、ユーザアプリケーションに組み込まれた[パスワードを忘れた場合]機能にリダイレクトします。

パスワードを忘れた場合のリンク

このURLは[パスワードを忘れた場合]機能ページを指します。 外部または内部のパスワード管理WARにあるForgotPassword.jsfファイルを指定します。 詳細については、外部パスワード管理の環境設定を参照してください。

パスワードを忘れた場合の返信リンク

外部のパスワード管理WARを使用している場合は、外部の[パスワード管理WAR]がWebサービス、たとえばhttps:// idmhost:sslport/idm を経由してユーザアプリケーションを呼び戻すのに使用するパスを指定します。

メモ:インストール後には、このファイルでほとんどの設定を編集できます。 編集するには、インストールサブディレクトリにあるconfigupdate.shスクリプトまたはWindows configupdate.batファイルを実行します。クラスタ内でこれを記憶します。このファイルの設定はクラスタのすべてのメンバーで同じである必要があります。