この節では、ポリシービルダインタフェースで使用できるすべてのアクションについて、詳しく説明します。
指定した関連付けと共に、関連付けの追加コマンドをアイデンティティボールトに送信します。
ターゲットデータストア内のオブジェクトの属性に値を追加します。
この例では、ターゲット属性値をOU属性に追加します。作成されたローカル変数から値を生成します。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、コマンド変換-部署別コンテナの作成-パート1とパート2を参照してください。
ターゲットデータストア内に新しいオブジェクトを作成します。
オブジェクト作成の一部として追加される任意の属性値は、次のセクション 2.6.2, ターゲット属性値の追加アクションで同じDNを使って追加する必要があります。
この例では、必要な部署別コンテナを作成します。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、コマンド変換-部署別コンテナの作成-パート1とパート2を参照してください。
部門オブジェクトが作成されます。OU属性の値は、このアクションの後に発生するターゲット属性値のアクションから作成されます。
ソースデータストア内のオブジェクトの属性に値を追加します。
ソースデータストア内に作成される、指定されたタイプのオブジェクトを作成します。オブジェクト作成の一部として追加される任意の属性値は、次のソース属性値の追加アクションで同じDNを使って追加する必要があります。
XPath式で選択された要素のセットに要素を追加します。
XPath式で選択された要素のセットにテキストを追加します。
現在のポリシーによる現在の操作の処理を終了します。
ターゲットデータストア内の1つのオブジェクトから、すべての属性値を削除します。
操作プロパティの現在の操作をクリアします。
ソースデータストア内の1つのオブジェクトから、すべての属性値を削除します。
シングルサインオンの資格情報をクリアし、オブジェクトのプロビジョニングを解除できるようにします。このアクションは、資格情報のプロビジョニングポリシーの一部です。詳細については、セクション 4.0, Novell資格情報プロビジョニングポリシーを参照してください。
XPath式で選択されたXMLノードのセットの詳細コピーを、他のXPath式で選択された要素のセットに追加します。
現在の操作で属性に行った内容を、現在の操作内の別の属性にコピーします。
この例では、役職に基づいて、ユーザオブジェクトを適切なグループ(従業員またはマネージャ)に追加します。必要に応じてグループも作成し、そのグループに同等セキュリティを設定します。これは「Govern Groups for User Based on Title Attribute (役職属性に基づくユーザグループの管理)」というポリシーで、NovellのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
この「操作属性のクローン」の例では、グループメンバーシップ属性から情報を取得し、これに同等セキュリティを追加して同じ値になるようにしています。
ターゲットデータストア内のオブジェクトを削除します。
ソースデータストア内のオブジェクトを削除します。
ターゲットデータストアにある現在のオブジェクトに一致するものを検索します。
一致オブジェクトの検索は、現在の操作が追加される場合にのみ有効です。
DN引数は、スコープが[エントリ]の場合のみ必須で、それ以外の場合はオプションです。スコープが[サブツリー]または[サブオーディネート]の場合には、少なくとも1つの一致属性が必要です。スコープが[エントリ]の場合には結果は定義されず、一致属性が指定されます。ターゲットデータストアが接続されたアプリケーションである場合は、一致結果が返されるごとに関連付けが現在の操作に追加されます。現在の操作に空でない関連付けがすでにある場合はクエリが実行されないので、同じルール内に一致オブジェクトの検索アクションを複数指定しても問題ありません。
ターゲットデータストアがアイデンティティボールトである場合は、現在の操作のターゲットDN属性が設定されます。現在の操作にすでに空でないターゲットDN属性がある場合はクエリが実行されないので、同じルール内に一致オブジェクトの検索アクションを複数指定しても問題ありません。結果が1つだけ返され、それがまだ関連付けられていない場合は、現在の操作のターゲットDNが一致オブジェクトのソースDNに設定されます。結果が1つだけ返され、それがすでに関連付けられている場合は、現在の操作のターゲットDNが1文字のに設定されます。複数の結果が返される場合は、現在の操作のターゲットDNが1文字の�に設定されます。
この例では、ユーザオブジェクトで属性CNとLを使用して照合します。ルールが検索している場所のユーザコンテナで開始され、OU属性内に格納された情報をDNに追加します。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、一致-属性値別を参照してください。
引数ビルダのアイコンをクリックすると、一致属性ビルダが開きます。ビルダで照合する属性を指定します。この例では、CNおよびLの属性を使用しています。
ノードセット内の各ノードに対し、アクションのセットを繰り返します。
ローカル変数が使用される場合、アクションのセットが1回実行されるたびに、現在のノードは異なる値になります。
For eachでは、ノードセット内のあるノードがエンタイトルメントである場合、それに対しては黙示的にエンタイトルメントの実装アクションが実行されます。
次に示すのは、引数アクションビルダの例で、アクションの引数を指定するために使用されます。
ユーザ定義イベントをNovell Auditに送信します。
Novell Auditイベント構造には、1つのターゲット、1つのサブターゲット、3つの文字列(text1、text2、text3)、2つの整数(value、value3)、および1つの一般的なフィールド(data)が含まれます。テキストフィールドは256バイトに制限されています。データフィールドには3KBまでの情報を含めることができます。ただし、環境によってはこれより大きいデータフィールドを使用できる場合もあります。
この例には4つのルールがあり、これらのルールでは名字属性の最初の文字に基づいてユーザオブジェクトに配置ポリシーを実装し、トレースメッセージおよびカスタムのNovell Auditイベントの両方を生成します。イベントの生成アクションは、Novell Auditにイベントを送信する場合に使用されます。これは、「Policy to Place by Surname (名字で配置するためのポリシー)」という名前のポリシーで、NovellのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
次に示すのは、名前付き文字列ビルダの例で、文字列の引数を指定しているところです。
イベントの生成により、IDが1000のイベントを作成中で、LVUser1のローカル変数で生成されたテキストを示しています。ローカル変数LVUser1は、+”“+”Training\Users\Active\Users1”+” コンテナ”に追加されたユーザ:操作属性“cn”の文字列です。このイベントは、Trainging\Users\Active\Users1コンテナに追加されたユーザ:jsmithを読み込みます。
エンタイトルメントを実装するアクションを指定することで、これらのエンタイトルメントのステータスが、そのエンタイトルメントを付与または取り消したエージェントにレポートされるようにします。
次に示すのは、引数アクションビルダの例で、アクションの引数を指定する場合に使用されます。
ターゲットデータストア内のオブジェクトを移動します。
この例にはルールが1つ含まれています。このルールは、説明属性がユーザの終了を示している場合にユーザのアカウントを無効にし、アカウントを無効なコンテナに移動します。これは、「Disable User Account and Move When Terminated (終了時のユーザアカウントの無効化と移動)」という名前のポリシーで、NovelのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
このポリシーでは、それがユーザオブジェクトの変更イベントであるかどうか、および説明属性に終了の値が含まれているかどうかを確認します。該当する場合、「ログインの無効化」の属性をTrueに設定し、そのオブジェクトをUser\Disabledコンテナに移動します。
ソースデータストア内のオブジェクトを移動します。
パターンを使用して、現在の操作内にある属性のすべての値を再フォーマットします。
この例では、電話番号を再フォーマットします。(nnn)-nnn-nnnnからnnn-nnn-nnnnに変更します。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、入出力変換-電話番号の形式を(nnn) nnn-nnnnからnnn-nnn-nnnnに変更を参照してください。
このアクションの再フォーマット操作属性により、電話番号の形式を変更します。このルールでは、引数ビルダと正規表現を使用して、情報の表示方法を変更します。
関連付けを削除するコマンドをアイデンティティボールトに送信します。
この例では、削除操作を使用して、ユーザオブジェクトを無効にします。イベントは変換されます。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、コマンド変換-無効にする発行者の削除を参照してください。
ユーザオブジェクトに対して削除操作が行われるときは、「ログインの無効化」の値がTrueに設定され、ユーザオブジェクトから関連付けが削除されます。関連付けが削除されるのは、接続アプリケーション内に関連付けられたオブジェクトが存在しなくなったためです。
ターゲットデータストア内のオブジェクトから、属性値を1つ削除します。
ソースデータストア内のオブジェクトにある名前付き属性から、指定した値を削除します。
ターゲットデータストア内のオブジェクトの名前を変更します。
現在の操作で属性に行ったすべての内容に対する名前を変更します。
ソースデータストア内のオブジェクトの名前を変更します。
電子メール通知を送信します。
重要:パスワード属性の値はクリアテキストで保存されます。
次に示すのは、名前付き文字列ビルダの例で、文字列の引数を指定しているところです。
テンプレートを使用して、電子メール通知を生成します。
重要:パスワード属性の値はクリアテキストで保存されます。
各テンプレートでは、電子メールメッセージの件名および本文で置き換えられるフィールドも定義できます。
次に示すのは、名前付き文字列ビルダの例で、文字列の引数を指定しているところです。
属性に値が指定されていない場合に、現在の操作にデフォルト値を追加します(オプションで、ソースデータストア内の現在のオブジェクトにも追加します)。これは、現在の操作が「追加」の場合のみ有効です。
この例では、属性「company」のデフォルト値を設定します。必要な属性に値を設定できます。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、作成-デフォルト属性値の設定を参照してください。
値を作成するには、引数値リストビルダを起動します。このビルダの詳細については、引数値リストビルダを参照してください。必要な値を設定できます。この場合、引数ビルダを使用して、「company」という名前のテキストを入力しました。
ターゲットデータストアにあるオブジェクトの属性に値を追加し、その属性に設定されている他の値をすべて削除します。
この例では、削除操作を使用して、ユーザオブジェクトを無効にします。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、コマンド変換-無効にする発行者の削除を参照してください。
このルールでは、「ログインの無効化」の属性値をTrueに設定します。このルールでは、引数ビルダを使用して、この属性値としてテキスト「True」を追加します。このビルダの詳細については、引数ビルダを参照してください。
ターゲットデータストアにある現在のオブジェクトのパスワードを設定します。
この例では、作成されるユーザオブジェクトのデフォルトのパスワードを設定します。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、作成-デフォルトパスワードの設定を参照してください。
ユーザオブジェクトが作成され場合、パスワードは、名前属性に名字属性を加えたもの設定されます。
ローカル変数を設定します。
この例では、役職に基づいて、ユーザオブジェクトを適切なグループ(従業員またはマネージャ)に追加します。必要に応じてグループも作成し、そのグループに同等セキュリティを設定します。これは「Govern Groups for User Based on Title (役職に基づくユーザグループの管理)」という名前のポリシーで、NovellのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
ローカル変数は、ユーザオブジェクトのターゲット属性(オブジェクトクラスとローカル変数manager-group-info)の値に設定されます。引数ビルダは、ローカル変数の作成に使用されます。詳細については、引数ビルダを参照してください。
現在の操作に関連付けの値を設定します。
現在の操作のオブジェクトクラス名を設定します。
現在の操作のターゲットDNを設定します。
この例では、接続システムからミラー化された構造を使用して、アイデンティティボールト内にオブジェクトを配置します。ソースおよびターゲットのデータストアで、ミラー化を開始するポイントを定義する必要があります。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、作成-デフォルト属性値の設定を参照してください。
このルールでは、操作ターゲットDNをターゲットのベースロケーションとソースDNのローカル変数として設定します。
操作プロパティを設定します。操作プロパティは、操作内に保存される名前付きの値です。一般に、操作の結果を処理するポリシーで必要になる可能性がある追加のコンテキストを提供するために使用されます。
現在の操作のソースDNを設定します。
現在の操作のテンプレートDNを、指定した値に設定します。このアクションは、現在の操作が「追加」の場合のみ有効です。
この例では、役職属性に「Manager」という語句が含まれている場合に、Managerテンプレートを適用します。これは「Policy: Assign Template to User Based on Title (ポリシー: 役職名に基づくユーザへのテンプレート割り当て)」という名前のポリシーで、NovellのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
テンプレート「Manager Template」は、使用可能な役職属性を持っていて、役職名のどこかに「manager」という語句が含まれているユーザオブジェクトに適用されます。このポリシーでは、一致するすべてのものを検索する正規表現を使用しています。
ソースデータストアにあるオブジェクトの属性に値を追加し、その属性に設定されている他の値をすべて削除します。
この例では、電子メールアドレスが変更された場合に、この変更を元の状態に戻します。これは「Policy: Reset Value of the E-mail Attribute (ポリシー: 電子メール属性値のリセット)」という名前のポリシーで、NovellのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
このアクションでは、ターゲット属性「Internet EMail Address」の値を取得し、電子メールのソース属性をこの値と同じに設定します。
ソースデータストアにある現在のオブジェクトのパスワードを設定します。
ユーザオブジェクトの作成またはパスワードの変更が実施されるときの、SSO資格情報を設定します。このアクションは、資格情報のプロビジョニングポリシーの一部です。詳細については、セクション 4.0, Novell資格情報プロビジョニングポリシーを参照してください。
ユーザオブジェクトがプロビジョニングされるときのNovell SecureLogin®のパスフレーズおよび回答を設定します。このアクションは、資格情報のプロビジョニングポリシーの一部です。詳細については、セクション 4.0, Novell資格情報プロビジョニングポリシーを参照してください。
SecureLoginパスフレーズの質問と回答は、ポリシー内に文字列として保存されます。[これらの文字列を編集します]アイコンをクリックして、文字列ビルダを起動します。パスフレーズの質問と回答を指定します。
XPath式で選択された要素のセットにXML属性を設定します。
ステータス通知を生成します。
レベルが「再試行」である場合、ポリシーは入力ドキュメントの処理をただちに中止して、現在処理中のイベントの再試行をスケジュールします。
レベルが「致命的エラー」である場合、ポリシーは入力ドキュメントの処理をただちに中止して、ドライバのシャットダウンを開始します。
現在の操作にイベントIDが割り当てられている場合、そのイベントIDがステータス通知に使用されます。割り当てられていない場合は、イベントIDはレポートされません。
現在の操作から属性に行ったすべての内容を除去します。
この例では、電子メールアドレスが変更された場合に、この変更を元の状態に戻します。これは「Policy: Reset Value of the E-mail Attribute (ポリシー: 電子メール属性値のリセット)」という名前のポリシーで、NovellのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
このアクションでは、電子メールの属性を除去します。保持されている値は、ターゲットの電子メール属性内にあったものです。
XPath式で選択されたノードを除去します。
DSTRACへメッセージを送信します。
ドライバのトレースレベルの設定方法についての詳細は、『Novell Identity Manager 3.0管理ガイド』の「Identity Managerのプロセスの表示」を参照してください。
この例には4つのルールがあり、これらのルールでは名字属性の最初の文字に基づいてユーザオブジェクトに配置ポリシーを実装し、トレースメッセージおよびカスタムのNovell Auditイベントの両方を生成します。メッセージのトレースアクションは、DSTRACEへのトレースメッセージを送信する場合に使用されます。これは、「Policy to Place by Surname (名字で配置するためのポリシー)」という名前のポリシーで、NovellのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
DSTRACへトレースメッセージを送信します。ローカル変数の内容はLVUsers1で、DSTRACEでは黄色で表示されます。
現在の操作を拒否します。
この例では、指定されたサブツリーからのイベントをすべて除外します。このルールは、Identity Manager 3.0に付属している事前定義されたルールです。詳細については、イベント変換-スコープフィルタリング-サブツリーの除外を参照してください。
このアクションでは、指定されたサブツリーからのイベントをすべて拒否します。
現在の操作内の属性の使用状況に基づき、条件付きで現在の操作をキャンセルして現在のポリシーの処理を終了します。
この例では、属性「名前」、「名字」、「役職」、「説明」、および「インターネット電子メールアドレス」が使用できない場合、ユーザオブジェクトは作成されません。これは「Policy to Enforce the Presences of Attributes (属性の存在を強制するポリシー)」という名前のポリシーで、NovellのサポートWebサイトからダウンロードできます。詳細については、ダウンロード可能なIdentity Managerポリシーを参照してください。
このアクションでは、属性「名前」、「名字」、「役職」、「説明」、「インターネット電子メールアドレス」が使用できない場合、操作を拒否します。