アカウント・ライフサイクルの管理

オンラインで編集

IBM® Verifyアカウントのライフサイクルとは、アイデンティティ・ガバナンスの一環として、対象システム上のユーザーアカウントを管理するプロセスです。 ユーザー・アカウントのプロビジョニングとプロビジョニング解除を構成できます。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • [ 全般 ] タブで、アプリケーションインスタンスの基本情報を設定します。 「アプリケーションの基本情報の設定」 を参照してください。
  • 提供されているアプリケーション・アカウント・ライフサイクル構成手順を実行します。

このタスクについて

ご使用のアプリケーションでサポートされている場合は、アカウント・プロビジョニングに関するアプリケーションのポリシーを構成できます。 アプリケーションの一覧については、 「プロビジョニングに対応しているアプリケーション」 を参照してください。

手順

  1. 「アプリケーション 」>「 アプリケーション」 を選択します。
  2. アカウントのプロビジョニングおよびプロビジョニング解除のためのオプションを選択します。
    1. アカウントのプロビジョニングについては、以下のオプションから選択します。
      有効
      ユーザーに資格を割り当てるときに自動的にアカウントが作成されます。 この設定がデフォルト設定です。
      無効
      アカウントは Verify の外部で作成されます。
    2. アカウントのプロビジョニング解除については、以下のオプションから選択します。
      有効
      ユーザーから資格を削除するときに自動的にアカウントがプロビジョン解除されます。 このオプションを選択すると、猶予期間オプションがアクティブ化されます。
      無効
      このアカウントは Verify の外部でプロビジョン解除されます。 このオプションが選択されている場合は、猶予期間およびプロビジョン解除アクションが非アクティブになります。
      注: アプリケーションの種類、およびプロビジョニングとデプロビジョニングの設定によって、そのアプリケーションに対して表示されるオプションが決まります。
    3. アプリケーションがパスワード同期をサポートする場合は、アカウントのパスワード・アクションを選択します。
      パスワードの同期に対応しているアプリケーションを参照してください。
      ユーザーのクラウド・ディレクトリー・パスワードの同期
      このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
      パスワードの生成
      このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
      なし
      このオプションは、パスワードなしでアカウントをプロビジョンします。
    4. チェック・ボックスを選択して、アカウントがプロビジョンされたときに E メール通知をユーザーに送信するかどうかを指定します。
      注:Active Directory では、生成されたパスワードを含む通知を、ユーザー、ユーザーのマネージャー、またはその両方に送信するかを指定できます。
    5. 猶予期間を選択します。
      アカウントのプロビジョニング解除は、指定の猶予期間後に実行されるようにスケジュールできます。 このオプションは、プロビジョニング解除が有効で、かつプロビジョニング解除アクションでアカウントが削除されるように構成されている場合に構成できます。 アカウントの資格が削除された後にアカウントをサスペンド状態で維持できる日数を選択します。 デフォルトの設定は 30 日です。
    6. プロビジョン解除アクションを選択します。
      このオプションは、アカウントをサスペンドまたは削除するプロビジョニング解除アクションを有効にするために構成できます。 プロビジョニング解除が無効になっている場合は、プロビジョン解除アクションが非アクティブになります。
  3. (任意): アプリケーションプロファイルを選択してください。
    プロファイルを作成する場合、「新規アプリケーション・プロファイルの作成」をクリックしてプロファイル・ウィザードを開始します。 「アプリケーションプロファイルの管理」 を参照してください。
    注: デフォルト以外のプロファイルを関連付ける場合は、アカウントのライフサイクル設定を保存する前に、そのプロファイルが作成されていることを確認してください。 一度保存すると、別のアプリケーションプロファイルを関連付けることはできませんが、選択したプロファイルは変更可能です。
  4. API 認証を構成します。
    表示されるフィールドは、アカウント・ライフサイクルを構成している対象のアプリケーションに応じて異なります。 提供されているアカウント・ライフサイクル構成手順を実行して、これらのフィールドの情報を取得できます。
    1. アプリケーションに関して提供されている構成手順を実行します。
    2. 構成手順で取得されたフィールドの認証情報を指定します。
    3. 「接続テスト」 をクリックして、設定した認証情報を使用して対象のエンドポイントへの接続が確立できるかどうかを確認してください。
  5. 「属性マッピング」では、各アプリケーション属性に対応する Verify ユーザー属性を割り当ててください。
    アプリケーションの要件に基づいて属性をマップします。 属性マッピングは、アプリケーションが Verify からのユーザー属性を消費する方法を制御します。 属性には、マップされた Verify ユーザー属性によって保持されている値がすべて取り込まれます。 属性マッピングのカスタムルールを作成するには、 「属性マッピングのカスタムルールの作成」 を参照してください。
    1. Verify メニューから属性を選択してください。
    2. (任意): 値の変換を選択します。
      「変換」メニューで用意されている組み込みの変換のいずれかを使用して、値を変換することができます。 デフォルト設定はNoneです。これは、値が変更されずに渡されることを意味します。 スクリプト・サポートを使用すると、Verify 属性値を変換してそれをターゲット属性に設定するためのカスタム変換を作成できます。 「属性マッピングのカスタムルールの作成」 を参照してください。
    3. 属性メニューからターゲット属性を選択します。
    4. オプション: アプリケーションがこの機能をサポートしている場合は、変更が発生したときに更新する属性の [値の更新を維持する] チェックボックスを選択します。 IBM Verify
      ユーザーのプロファイルに対する属性値の変更により、ターゲット・アプリケーションにある対応する属性値が自動的に上書きされます。 変更できない特定の属性値 (user_nameなど) の場合、このチェック・ボックスは非アクティブです。
    注:
    • ユーザーが Verify で使用不可または使用可能になっていると、Verify はターゲット・アプリケーション上のアカウントをサスペンドまたは復元します。
    • 属性マッピングに対してカスタム規則が指定されている場合、組み込み変換をその規則に適用することはできません。
    • 同じターゲット属性および Verify 属性を属性の逆マップにマップします。
    • これらの属性マッピングは、ターゲット・アプリケーションでのアカウント・プロビジョニングとアカウント同期に使用されます。
    • アカウントの同期修復処理中は、ユーザープロファイルの変更があってもメール通知は送信されません。
  6. 「保存」 をクリックします。
    以前に接続をテストしなかった場合は、テストを実行するかまたはプロビジョニング・ポリシーが無効な状態で情報を保存するように求めるプロンプトが出されます。