前回の続きです。
グループを使用する
設定
「グループを使用する」設定でワークフローを検証します。
IDワークフローの「グループ情報設定」にて、以下のように設定します。
LDAPグループは以下のようなルート・メンバ、階層番号=departmentNumberの振り分けとなっています。
続いて上長を設定します。
対象グループの階層番号と、グループの上長の名称を指定します。
これで、申請者が所属しているグループツリーの階層番号1のグループの上長メンバ を上長に設定できます。
ルートテンプレートの設定を行います。
グループを使用する設定では、「承認者登録」にてユーザ、グループ、上長を選択できます。
まずは初めとなるグループの「生産技術課」を選択します。
「グループメンバ」を「複数」の承認者とします。
続けて、「技術部」グループのグループ上長を承認者とします。
最後に、階層番号1の上長「部長」を承認者とします。
申請書のルートテンプレートを変更します。
確認
生産技術課グループのユーザuser8でログインし、申請書を作成します。
※グループを使用する設定の場合、どのグループにも所属していないユーザはサインインできません。
申請すると、生産技術課グループのメンバに承認依頼が届きます。
承認します。
すると、技術部グループのexexgmember1属性値に指定されているユーザ=user1に承認依頼が届きます。
承認します。
最後に、user8ユーザが所属しているグループツリーの階層番号1番のグループ=技術部グループのexexgmember1属性値に指定されているユーザ=user1に承認依頼が届きます。
承認して、予約エントリ反映を行うと、ユーザエントリが追加されます。
代理承認・権限移譲を使用する
代理承認機能を使用すると、他のユーザが自身に代わって承認などの処理を行います。
期間代理承認者の設定
こちらは期間を設定して代理認証者を設定します。
IDワークフロー「代理承認設定」からユーザを設定します。
こうすることで、通常user1の承認が必要なステップで、対象期間に限ってuser2が代わって承認など各処理を行えるようになります。
永時代理承認者
「代理承認者情報格納LDAP属性名」に指定した属性に対象のメンバを設定します。
すると、そのメンバが代わって承認などの各処理を行えるようになります。
いずれの方法でも、ログ上には代理で処理を行った旨が記録されます。
権限移譲
権限移譲をすることで、自身の承認処理を他のユーザに転送することができます。
ログ上ではこのようになります。
その他の設定
可変パラメータ
ユーザ、グループの属性を可変パラメータとして設定することで、各フィルタ等にログインユーザの属性値を埋め込み、閲覧可能な範囲の指定などに使うことができます。
今回はbusinessCategory属性をユーザの可変パラメータに設定しているので、これを使用します。
属性titleのデフォルト値に="%u0%"を指定します。
以下のようなbusinessCategoryを持つuser1でログインし、申請書の作成を行います。
この時、可変パラメータを設定した属性titleを表示させると、以下のように可変パラメータが計算されて値がセットされます。
複数値属性を可変パラメータに設定した時、置き換えられる値は最初に読み出された値になります。
条件情報の設定
申請書テンプレート上で「条件情報」を選択することで、対象の属性が条件を満たしたときのみ承認を必要とさせるような設定ができます。
下記のようなルートテンプレートを作成します。
作成したルートテンプレートを指定した申請書テンプレートを作成します。
パスワード変更時のみ承認者「パスワード変更時」の承認が必要になるように、パスワード!=%OldValue%の条件を設定します。
これで申請書を作成します。
まずはパスワード以外を変更します。
技術部グループに承認依頼が届きます。承認を行います。
パスワードを変更していないため、これで決裁が通ります。
パスワードを変更します。
承認します。
まだ決裁は通らず、承認者「パスワード変更時」の承認を必要としていることがわかります。
このようにして、条件を指定して承認ステップを変更することが可能です。
まとめ
IDワークフロー、そしてLDAP Managerについての検証は以上になります。
今回検証した各ツール・プラグインにはご紹介しきれなかった機能が多くありますし、検証を行わなかったツール・プラグインも沢山存在します。(数えた所未検証のものが 25個 ありました)
それほど多くの機能を持つLDAP Managerについて、一連の記事を通して少しでも知っていただけていれば幸いです。
ここまでご覧いただきありがとうございました。