■ILM"2"の中のワークフロー機能の位置づけ
ILM"2"の中のワークフロー機能の位置づけは
・ILM Web Serviceの構成要素の一つ
・Management Policy Rule(MPR)が実行される際のプロセスの一つ
です。
■動作の概要
ILM Web Serviceへの要求(属性の更新など)があると、あらかじめ定義されたMPRに基づいて要求は処理されます。
MPRは、要求(要求元、操作)と操作対象(対象となるリソース/SET、対象の属性)、実行されるフローの組み合わせで定義され、ILM Web Serviceへの要求がMPRに定義された要求と操作対象にマッチするとフローとILMSDBへの要求操作(CRUD)が実行されます。
■定義可能なフローの種類
ILM"2"では以下の3種類のフローを定義することができます。
種別 | 説明 |
Authentication | 要求元を認証するために利用する(通常のパスワードで認証できないような状況/パスワードリマインドなどに利用) |
Authorization | 要求の実行条件を満たすか確認するために利用する(承認フロー、操作対象の属性が適切かどうかの検査など) |
Action | ILMSDBへの操作完了後のアクションを定義する(通知する、OSRを使ってプロビジョニングを行うなど) |
■フロー種別詳細
各フローには実行する動作(アクティビティ)を定義します。
・Authenticationフロー
Authenticationフローでは以下の2種類のアクティビティを利用することができます。
アクティビティ | 説明 |
Lockout Gate | Authenticationフローのロックアウトを行うために利用する |
QA Gate | 質問への回答で要求者を認証を行うために利用する |
また、各アクティビティにはそれぞれ詳細な設定を行うことができます。
アクティビティ | 設定項目 | 初期値 |
Lockout Gate | ロックアウト閾値に達した後、ロックアウトされる期間(分) | 15 |
ロックアウト閾値(Authenticationフローで失敗できる回数) | 3 | |
恒久的にロックアウトされるまでにロックアウト閾値に達して良い回数 | 3 | |
QA Gate | トータルの質問の数 | 3 |
事前登録時に表示される質問の数 | 3 | |
事前登録しなければならない質問の数 | 3 | |
ランダムに表示される質問の数 | 3 | |
正解しなければならない質問の数 | 3 | |
実際の質問 | - |
・Authorizationフロー
Authorizationフローでは以下の2種類のアクティビティを利用することができます。
アクティビティ | 説明 |
Approval | 承認フローを定義するために利用する |
Filter Validation | 操作対象の属性が適切かどうかをあらかじめ定義したフィルタを利用して確認する |
Function Evaluator | フロー内で利用する関数を定義する |
Group Validation | ILM”2”のデフォルトのグループへの適合しているかを確認する |
Notification | 特定の宛先へ通知を行う |
また、各アクティビティにはそれぞれ詳細な設定を行うことができます。
アクティビティ | 設定項目 | 初期値 |
Approval | 承認者(ILMSDB上のユーザ/グループを静的に設定、もしくは要求者の属性などから動的に取得して設定) | - |
承認者の数 | 1 | |
エスカレーションタイムアウトまでの期間(日) | 7 | |
メールテンプレート ・承認待ち(承認者へ送付) ・ 承認待ちのエスカレーション(承認者へ送付) ・ 承認完了(承認者へ送付) ・ 否認(要求者へ送付) ・ 要求のタイムアウト(要求者へ送付) | - | |
Filter Validation | フィルタ対象属性を含むFilterScopeオブジェクト | - |
Function Evaluator | アクティビティ名 | - |
本関数を実行した結果の値をストアする対象のオブジェクトと属性 | - | |
値として設定する属性名 | - | |
Group Validation | ILM”2”のグループ管理でサポートされるプロパティを設定するかどうかを検証する(非サポートのプロパティを設定した場合はこのアクティビティは失敗する) | - |
ActiveDirectoryのグループ管理でサポートされるプロパティを設定するかどうかを検証する(非サポートのプロパティを設定した場合はこのアクティビティは失敗する) | - | |
マルチフォレスト環境におけるActiveDirectoryのグループ管理でサポートされるプロパティを設定するかどうかを検証する(非サポートのプロパティを設定した場合はこのアクティビティは失敗する) | - | |
Notification | 受信者(ILMSDB上のユーザ/グループを静的に設定、もしくは要求者の属性などから動的に取得して設定) | - |
メールテンプレート | - |
・Actionフロー
Actionフローでは以下の4種類のアクティビティを利用することができます。
アクティビティ | 説明 |
Function Evaluator | フロー内で利用する関数を定義する |
Notification | 特定の宛先へ通知を行う |
Password Reset Activity | ランダムパスワードの生成とリセットを行う |
Synchronization Rule Activity | あらかじめ定義したSynchronization Ruleを実行する(プロビジョニング/デプロビジョニング/属性毎に動作を変更) |
また、各アクティビティにはそれぞれ詳細な設定を行うことができます。
アクティビティ | 設定項目 | 初期値 |
Function Evaluator | アクティビティ名 | - |
本関数を実行した結果の値をストアする対象のオブジェクトと属性 | - | |
値として設定する属性名 | - | |
Notification | 受信者(ILMSDB上のユーザ/グループを静的に設定、もしくは要求者の属性などから動的に取得して設定) | - |
メールテンプレート | - | |
Password Reset Activity | 生成するパスワードの文字列長 | 10 |
Synchronization Rule Activity | 実行するSynchronization Rule | - |
Synchronization Ruleの対象の中で実行するアクション(プロビジョニング/デプロビジョニング/属性毎に動作を変更) | - |
次回は実際に承認フローを設定する手順を解説したいと思います。