アプリケーションのアカウント同期を設定する

オンラインで編集

アカウント同期操作は、ターゲット・アカウントの属性と権限を Verify のユーザーと権限に同期させるプロセスです。 プロビジョニングが有効で、かつターゲットでサポートされている場合は、アカウント同期の設定を構成できます。 このタスクを使用して、ターゲット・アカウントを Verify ユーザーに一致させて修復する方法を構成します。

始める前に

  • 管理権限が必要です。
  • ご使用のアプリケーション・タイプでアカウント同期がサポートされることを確認します。 アカウントの同期に対応しているアプリケーションを参照してください。
  • 基本アプリケーション・セットアップが完了していることを確認します。 「アプリケーションの基本情報の設定」 を参照してください。
  • アプリケーションに対してプロビジョニングが有効になっていること、および「アカウント・ライフサイクル」タブでアカウントのプロビジョン・オプションが無効になっていないことを確認します。
注: フェデレーションユーザーに対してアカウントの同期を設定する場合は、プロビジョニング用に 属性を unqualifiedUserName 有効にする必要があります。
  1. 「ディレクトリ 」>「 属性 」に移動します。
  2. unqualifiedUserName を検索し、「編集」アイコンを選択します。 「利用状況」 までスクロールし、「 プロビジョニング」 を選択します。
  3. 「保存」 を選択します。
「属性の管理」 を参照してください。 属性マッピングには、perferred_username ではなく unqualifiedUserName を使用します。

このプロセスを使用して、プロビジョニング用のカスタム属性や事前定義された属性を有効にして、属性マッピング・メニューに追加できます。

このタスクについて

採用ポリシー
ターゲットからアカウントを取得する際、それらのアカウントを、 Verify アカウントの所有者として適切なユーザーに割り当てる必要があります。 この適用ポリシーでは、ユーザーをターゲットアカウントの所有者として関連付けます VerifyVerify採用ポリシーを使用すると、. 内で、どの対象アカウントに所有者を割り当てるかを定めたルールを定義できます。
アカウントが同期化されると、採用アカウントがポリシーに従って評価されます。
  • Verify で所有者が検出されるアカウントは、修復ポリシーと属性マッピングに基づいてさらに評価されます。
  • 所有者が見つからないアカウントは、一致しないものとしてマークされます。
修復ポリシー
アカウントの属性と権限が[ソース]と[ターゲット]間で Verify 同期される際、検出された差異はすべて「非準拠」として特定されます。 所有者がいないアカウントは、未照合として識別されます。 是正ポリシーを使用して、コンプライアンス違反または照合不能なアカウントに対して実行するアクションを設定します。 管理者はこのポリシーを使用して、アカウント同期で検出された更新がどこで同期されているかを判別できます。 アカウントの修復は、手動で実行することも、アカウント同期操作の実行時にトリガーされるポリシー駆動型にすることもできます。
属性の逆マッピング

修復ポリシーが、非準拠の場合にターゲット上で使用可能な値を持つ Verify 属性および権限を更新するように設定されている場合、属性の逆マッピングが使用されます。 Verify ユーザー・ディレクトリー内で更新されるターゲット属性を構成できます。

デフォルトでは、タブにマッピングは表示されません。

Verifyターゲット属性の値を変換するカスタム変換ルールを作成し、それらを.に保存することができます。

ご使用のアプリケーションでサポートされている場合は、アカウント同期に関するアプリケーションのポリシーを構成できます。

手順

  1. 「アプリケーション 」>「 アプリケーション」 を選択します。
    • アカウント同期がサポートされる既存のアプリケーションを選択します。 設定 アイコンを選択し、設定を選択します。
  2. [アカウントの同期] タブを選択します。
  3. 採用ポリシーを設定します。
    注: 採用ポリシーでは、高度なルール属性はサポートされていません。
    1. 「選択」 と「属性」の組み合わせ
      アカウントの移行を正常に行うには、少なくとも1つの属性を[ソース]と[ターゲット]の Verify 間でマッピングする必要があります。 採用ポリシーでマッピング属性が指定されていない場合は、ターゲットから取り出されたすべてのアカウントが不一致として表示されます。
    2. 1つ以上の対象属性を選択し、各属性に対応する Verify 属性を割り当ててください。
    3. 「属性ペアの追加」 を選択します。
      「+ 属性ペア」を選択して、追加の属性を変更またはマップできます。
    注: 後で採用ポリシーを変更した場合、 「保存」 をクリックすると、アカウントの同期が自動的に開始されます。

    このアカウント同期は以下のアクションを実行します。

    • すべてのアカウントを再評価し、該当 Verify するユーザーをアカウント所有者に設定します。
    • 構成されている修復ポリシーに従って、一致したアカウントを修復します。
    • Verify からターゲットにプロビジョンされるか、または Verify ユーザーに手動で採用されているアカウントはすべて修復され、新規所有者には割り当てられません。
    この調整では、新規採用ポリシーに従って、一致しないアカウントと非準拠アカウントのすべてのアカウントが再評価されます。 アカウントの同期が実行中の間は、アカウントのライフサイクルやアカウント同期の設定を変更することはできません。 これらの構成を変更したい場合は、最初にアカウントの同期化プロセスを停止する必要があります。 「アカウントの同期の開始と停止 」を参照してください。
  4. 修復ポリシーを設定します。
    1. 非準拠アカウントを修復するための以下のオプションのいずれかを選択します。
      非準拠アカウントを自動的に修復しません。
      このオプションは、アカウントの同期処理後に、要件を満たさないアカウントに対しては何も処理を行わないことを示します。 管理者は、アプリケーションの「アカウント」ビューから非準拠アカウントを評価し、アカウントを修復するための修復アクションを手動で選択することができます。 また、この是正ポリシーを使用して、照合できなかったアカウントに対して個別に手動で所有権を割り当てることもできます。
      対象アプリケーションの値で更新 IBM Verify してください。
      このオプションは、アカウント同期の後に、ターゲットと Verify の間に競合するアカウント属性値が存在する場合、ターゲットからのアカウント属性値が、属性の逆マップで指定された Verify 値を上書きすることを示します。
      ターゲットアプリケーションを値で IBM Verify 更新します。
      個々の照合不能なアカウントについて、手動で所有者を追加して修正したい場合は、このオプションを選択してください。 このオプションを選択すると、アカウントの同期後に、ターゲットと Verify ソースの間でアカウント属性の値に矛盾がある場合、ソース側の Verify アカウント属性の値がターゲット側の値を上書きします。
    2. ポリシーを 「準拠していないアカウントを自動的に修正しない」 から、「ポリシーに基づいて自動的に修正する」または「対象アプリケーションで Verify 自動的に修正する」のいずれかのオプションに変更すると、「 新しいポリシーを適用 」ポップアップウィンドウが表示されます。
    3. 現在のコンプライアンス違反アカウントに新しい是正ポリシーを適用する場合は 「今すぐ 」を選択してください。 「後で 」を選択した場合は、次回アカウント同期を実行した際にポリシーが適用されます。
      注: 採用ポリシーと修正ポリシーの両方を同時に更新した場合、アカウントの同期処理で自動的に処理されるため、「新しいポリシーを適用」というオプションは表示されません。
  5. 属性の逆マッピングを設定します。
    リバース属性マッピングでは、各属性 Verify に対して、対応するターゲットアプリケーションのユーザー属性を割り当てます。 アプリケーションの要件に基づいて属性をマップします。 リバース属性マッピングは、アプリケーションからユーザー属性をどのように Verify 取り込むかを制御します。 属性には、マップされたターゲット・アプリケーションのユーザー属性が保持するすべての値が取り込まれます。
    属性の逆マッピングは、アカウント同期操作の実行時に行われます。
    Verify注: 修復措置として「 IBM Security Verify を対象アプリケーションの値で更新する 」が設定されている場合、アカウントを同期させるには、少なくとも1つの逆マッピングが存在する必要があります。
    1. 属性メニューからターゲット属性を選択します。
    2. (任意): 値の変換を選択します。
      「変換」メニューで用意されている組み込みの変換のいずれかを使用して、値を変換することができます。 Noneデフォルトの設定は であり、これは値が変更されずに渡されることを意味します。 スクリプト機能を利用すれば、ターゲットアプリケーションの属性値を変換するカスタム変換を作成し、その値を指定した Verify 属性に設定することができます。 「属性マッピングの逆引きに関するカスタムルールの作成」 を参照してください。
    3. メニューから 属性を Verify 指定してください。
    注:
    • 属性マッピングに対してカスタム・ルールを指定した後は、その属性マッピングに組み込みの変換を適用することはできません。
    • 属性の逆マッピングでは、重複するターゲット属性をマップできません。
    • Verifyこれらの属性逆引きマッピングは、. におけるアカウントの修復に使用されます。
  6. 「保存」 を選択します。

次の手順

アカウントの同期を実行するには、 「アカウント同期の開始と停止」 を参照してください。