2008年 6月 20日 金曜日

前回は、IDM 8.0 で拡張されたロール管理機能の概要について紹介しましたので、今回は例として次のシナリオに基づいて作業をすすめてみます。

• シナリオ
  
  
  
  • 山田一郎さんに 2008年7月1日から7月31日までの間、契約社員として働いてもらう。
    
  • 契約社員のアカウントは LDAP で管理され、それにより社内メールを使用することができる。
    
  • 契約期間が終わると、LDAP からアカウントは削除される。
    
  
  
• 前提条件
  
  
  
  • 以下の操作は、2008年7月1日よりも以前の日付で行う。
    
  • LDAP リソース(名前: Email) は作成済み。
    
  • 承認者アカウント approveadmin および契約社員を管理する立場にある人のアカウント contract-admin は作成済み。
    
  • LDAP 属性 firstname、lastname、fullname を設定するための規則を作成済み。(lighthouse アカウントの属性値をそのまま割り当てるように規則を作成。)

    例：
    <Rule name='Firstname is Lighthouse accounts.firstname' primaryObjectClass='Rule'>
    <ref>accounts[Lighthouse].firstname</ref>
    <MemberObjectGroups>
    <ObjectRef type='ObjectGroup' id='#ID#All' name='All'/>
    </MemberObjectGroups>
    </Rule>

    注：ロールを将来のある時刻でユーザーに割り当てる場合、「Updated Assigned Users」タスクが使われますが、このタスクでは、Tabbed User Form を介さないため、リソースアカウント属性 firstname, lastname, fullname にどういった値を設定するかについては、ロールの中で規則を用いて設定する必要があります。ここで用意した３つの規則はそのためのものです。
    

  
  
• 確認すること
  
  
  
  • 2008年7月1日より以前には、山田一郎さんに対しては契約社員ロールおよび Email リソースアカウントは割り当てられていない。
    
  • 2008年7月1日になった時点で、山田一郎さんに対して、契約社員ロールおよび Email リソースアカウントが割り当てられる。
    
  • 2008年7月31日をすぎると、山田一郎さんから契約社員ロールは削除され、また Email リソースアカウントも削除されている。
    
  
  

それでは、画面のスナップショットを交えながら、実際の作業を進めていきます。

1. 管理インターフェースに Configurator でログインし、ロールタブに移動。
   

   ---

   
   
   

   ---

   
   
2. 「新規」ボタンをクリックし、タイプを「ビジネスロール」に切り替え、次のように値を入力。
   

   ---

   
   
   

   ---

   
   
3. 「セキュリティ」サブタブに移動し、承認者リストから approveadmin を選択し、保存する。
   

   ---

   
   
   

   ---

   
   
4. これで、「契約社員」という名前のビジネスロールが作成されました。
   

   ---

   
   
   

   ---

   
   
5. 「新規」ボタンをクリックし、タイプを「IT ロール」のままにして、次のように値を入力。
   

   ---

   
   
   

   ---

   
   
6. リソースサブタブに移動し、リソース一覧から「Email」リソースを選択。
   

   ---

   
   
   

   ---

   
   
7. 「割り当てられたリソース」に、「Email」が表示されますので、その横の「属性値の設定」をクリック。次の画面にて、fullname、lastname、firstname に対して属性値を設定するための規則を選択し、保存する。これで、「Email」という名前の IT ロールが作成されました。
   

   ---

   
   
   

   ---

   
   
8. 次に、ロールのリストから「契約社員」のリンクをクリックし、「ロール」サブタブに移動し、
   含まれるロールのところで「追加」をクリック。
   

   ---

   
   
   

   ---

   
   
9. 含まれるロールを検索するための画面が表示されるので、次のように条件を指定し、「検索」をクリック。
   

   ---

   
   
   

   ---

   
   
10. 選択可能なロールとして、「Email」が表示されるのでそれを選択し、「追加」をクリック。
    

    ---

    
    
    

    ---

    
    
11. 関連付けのタイプには「必須」を選択し、「OK」をクリック。
    

    ---

    
    
    

    ---

    
    
12. 設定が正しく反映されていることを確認して、「保存」をクリック。
    

    ---

    
    
    

    ---

    
    
13. 「ロール変更の確認」画面が表示されるので内容を確認して、「保存」をクリック。この時点では「契約社員」ロールが割り当てられたユーザーはいないので、「割り当てられたユーザーの更新」は「更新しない」のままでかまいません。
    

    ---

    
    
    

    ---

    
    
14. これで、次のように「契約社員」ロールに「Email」ロールが「必須」で取り込まれました。画面では、required と英語で表記されてますが、これは 8.0 では対応しきれなかった国際化の問題です。8.1 にて修正します。(ID-18502)
    

    ---

    
    
    

    ---

    
    
15. 次に、山田一郎さんのアカウントを作成して、「契約社員」ロールを割り当てます。
    まずは、ユーザー作成画面にて、次のように値を入力したあと、「ロール」サブタブに移動します。
    以前のバージョンでは、「割り当て」サブタブにて、リソースやロールなどを割り当てるようなGUIになってましたが、8.0からは、「ロール」「リソース」と別個のサブタブが提供されています。
    

    ---

    
    
    

    ---

    
    
16. まだ何もロールが割り当てられていないので、このような画面になってるはずです。ここで、「追加」ボタンをクリックします。
    

    ---

    
    
    

    ---

    
    
17. 割り当て可能なロールとして、「契約社員」ロールが表示されるので、それを選択して、「OK」をクリック。
    

    ---

    
    
    

    ---

    
    
18. すると、「契約社員」ロールとそれに包含されている IT ロール「Email」が表示されます。
    次の画面のように、「契約社員」ロールを割り当てる開始日と終了日を入力します。日付フォーマットは、mm/dd/yyyy です。これは、直接入力することもできますし、カレンダボタンをクリックして、カレンダーから日付を選択することも可能です。日付の設定が終わった時点では、画面に示すように、
    ステータス欄は設定を保留中となってるはずです。ここで「保存」をクリックします。
    

    ---

    
    
    

    ---

    
    
19. 山田一郎さんのアカウント yamada1 が作成され、yamada1 に対して「契約社員」ロールを割り当ててもよいかの承認リクエストがロールの承認者である approveadmin に送られます。
    approveadmin で管理インターフェースにログインして、リクエストを承認します。
    

    ---

    
    
    

    ---

    
    
20. 承認処理を終えたら、再び Configurator で管理インターフェースにログインして、yamada1 の状態を確認してみます。この時点では、日付がまだ 2008年7月1日になってないために次の画面のように、ロールのステータスが「アクティブ化を保留中」になってるはずです。
    

    ---

    
    
    

    ---

    
    
21. ここで IDM が配備されてるホストのクロックを 2008年7月1日の午前9時まで強制的に進めてみます。

    # /opt/SUNWappserver9/bin/asadmin stop-appserv
    # date 07010900
    #/opt/SUNWappserver9/bin/asadmin start-appserv

    そして、Configurator で管理画面にログインして、「サーバータスク」→「タスクの実行」ページに移動し、「延期タスクスキャナ」をクリックして、次のように値を入れて「起動」をクリックします。
    

    ---

    
    
    

    ---

    
    
22. これでユーザーオブジェクトに対して延期されていたタスク（この場合は、yamada1 に対する「契約社員」ロールの割り当て」）が実行されます。
    すべてのタスク画面を見てみると、「Apply Role Changes yamada1」「yamada1 の更新」が実行され、作業が完了していることがわかります。
    

    ---

    
    
    

    ---

    
    
23. 「Apply Role Changes yamada1」をクリックしてみると、yamada1 に対して「契約社員」ロールとそれに含まれている「Email」ロールが割り当てられて、同時に Email リソース上に yamada1 のアカウントが作成されていることがわかります。
    

    ---

    
    
    

    ---

    
    
24. アカウントリストから yamada1 を選択して、ロールの状態を確認してみると、
    次のようにステータスが「割り当て済み」となっているはずです。
    これで、7月1日付けで、山田一郎さんには契約社員ロールが割り当てられ、Email リソース上にもアカウントが作成されたことがわかります。
    

    ---

    
    
    

    ---

    
    
25. では、ホストのクロックをさらに進めて、2008年8月1日9時に設定してみましょう。ロールの割り当て期間は 2008年7月31日までなので、8月1日になった時点で、yamada1 から「契約社員」ロールが割り当て解除され、同時に Email リソースへの割り当ても解除されているはずです。そのことを確認してみます。

    # /opt/SUNWappserver9/bin/asadmin stop-appserv
    # date 08010900
    # /opt/SUNWappserver9/bin/asadmin start-appserv

    Configurator でログインし、yamada1 のロールサブタブを見てみると、次のように何もロールが割り当てられていないことが確認できます。
    

    ---

    
    
    

    ---

    
    また、「サーバータスク」→「すべてのタスク」で、「Apply Role Changes yamada1」を見てみると、次のように Email リソースから yamada1 のアカウントが削除されていることも確認できます。
    

    ---

    
    
    

    ---

    
    

次回は、もう１つのシナリオ例を用いて、条件に基づいたロールの割り当てや、リクエストベースでのロールの割り当てについて紹介します。