一般的なインストールシナリオ
次のシナリオは、Identity Managerの使用環境の例です。各シナリオに対して、実装に役立つガイドラインをいくつか示します。
- Identity Managerの新しいインストール
- 同一環境でのIdentity ManagerとDirXML 1.1aの使用
- Starter PackからIdentity Managerへのアップグレード
- Password Synchronization 1.0からIdentity Managerパスワード同期へのアップグレード
Identity Managerの新しいインストール
NsureTM Identity Managerは、識別ボールトを利用して、アプリケーション、データベース、およびディレクトリ全体で情報を自動的に同期化、変換、配布するデータ共有ソリューションです。
Identity Managerソリューションには次のコンポーネントが含まれます。
Identity Managerの識別ボールトツリー
識別ボールトツリーには、接続された他のシステムと共有または同期化するユーザデータやオブジェクトデータが格納されます。Identity Managerを独自のツリーにインストールし、これを識別ボールトとして使用することをお勧めします。
iManagerサーバとIdentity Managerプラグイン
Identity Managerソリューションを管理するには、Novell(R) iManagerとIdentity Managerプラグインを使用します。
接続システム
接続システムには、識別ボールトとデータを共有または同期化する他のアプリケーション、ディレクトリ、およびデータベースなどを含めることができます。識別ボールトから接続システムへの接続を確立するには、接続システムに適切なドライバをインストールします。詳細な手順については、ドライバ実装に関するガイドを参照してください。
Identity Managerの一般的なタスク
システムコンポーネントのインストール - Identity Managerソリューションは複数のコンピュータ、サーバ、またはプラットフォームに分散される場合があるため、インストールプログラムを実行して、各システムに対して適切なコンポーネントをインストールする必要があります。詳細については、Identity Managerのコンポーネントとシステム要件を参照してください。
接続システムの設定 - 詳細な手順については、Identity Managerのコンポーネントとシステム要件および『ドライバ実装に関するガイドを参照してください。
製品のアクティベート - Identity Manager製品(ProfessionalまたはServer Edition、およびドライバグループ)は、インストール後90日以内にアクティベートする必要があります。Novell Identity Manager製品のアクティベーションを参照してください。
ビジネスポリシーの定義 - ビジネスポリシーにより、Novell eDirectoryTMとの情報フローを特定の環境に合わせてカスタマイズできます。また、ポリシーは、新しいオブジェクトの作成、属性値の更新、スキーマ変換の実行、一致条件の定義、Identity Managerの関連付けの維持などの多くのタスクも実行できます。ポリシーの詳細な説明については『Policy Builderとドライバカスタマイズガイド』を参照してください。
パスワードの管理の設定 - Password Policy (パスワードポリシー)を使用すると、ユーザのパスワード作成方法にルールを設定してセキュリティを強化できます。また、パスワードを忘れた場合のセルフサービスとパスワードのリセットセルフサービスのオプションをユーザに提供して、ヘルプデスクのコストを削減することもできます。パスワードの管理の詳細については、Password Policy (パスワードポリシー)を使用したパスワードの管理を参照してください。
Role-Based Entitlement (役割ベースのエンタイトルメント)の設定 - Role-Based Entitlement (役割ベースのエンタイトルメント)により、接続システムへのエンタイトルメントをNovell eDirectoryユーザのグループに付与できます。Entitlement Policy (エンタイトルメントポリシー)の使用により、ビジネスポリシーの管理を簡素化し、DirXMLドライバを設定する必要性を低減できます。詳細については、Role-Based Entitlement (役割ベースのエンタイトルメント)を参照してください。
Nsure Auditによるイベントのロギング - Nsure Identity Managerは、監査とレポーティングにNovell Nsureを使用するように用意されています。Nsure Auditは、監視、ログ、レポーティング、および通知の機能を実行するテクノロジを1つにまとめたものです。Identity ManagerをNsure Auditと統合すると、ドライバとエンジンアクティビティについて現在および過去のステータスに関する詳細な情報が提供されます。この情報は、事前設定済みのレポート、標準通知サービス、およびユーザ定義ログのセットによって提供されます。Nsure Auditによるログとレポートを参照してください。
同一環境でのIdentity ManagerとDirXML 1.1aの使用
Identity ManagerとDirXML(R) 1.1aの両方を同じ環境で実行する場合は、次の点に注意してください。
識別ボールトの作成
- Identity Managerを別のツリーにインストールし、これを識別ボールトとして使用することをお勧めします。
管理ツール
- ConsoleOne(R)は、DirXML 1.1aではサポートされていますが、Identity Managerではサポートされていません。
- DirXML 1.1aプラグインとIdentity Managerプラグインに1つずつ、2つのiManagerサーバが必要です。これは、プラグインが強化されていることと、Identity ManagerドライバはDirXML Scriptを使用しているためです。
- DirXML 1.1a用のiManagerプラグインは、ほとんどのIdentity Managerドライバのサンプルドライバ設定で使用されているDirXML Scriptを読み込むことができません。
後方互換性
- Identity Managerサーバ上でDirXML 1.1aドライバシムと設定を実行し、ドライバセットのDirXML OverviewでiManager内のドライバを表示できます。ただし、Identity Managerプラグインでは、Identity Managerの形式に変換しない限り、ドライバ設定は表示または編集できません。
Identity Managerプラグインでは、1.1a形式のドライバをクリックすると、変換を求めるメッセージが表示されます。このプロセスはウィザードを使用して簡単に実行でき、ドライバ設定の機能は変更されません。このプロセスの一部として、DirXML 1.1aバージョンのバックアップコピーが保存されます。
- DirXML 1.xドライバのアクティベーションは、Identity Managerエンジンでドライバを実行する場合には引き続き有効です。ただし、ドライバシムをIdentity Managerバージョンにアップグレードした場合は、新しいアクティベーションが必要です。
- ほとんどの場合、Identity ManagerドライバシムはDirXML 1.1a設定で実行できます。アップグレードの情報については、個々のドライバ実装に関するガイドを参照してください。
ただし、ADとNTは例外で、ドライバシムをアップグレードすると、追加ドライバポリシーをいくつか追加しない限りPassword Synchronization 1.0は正しく動作しないので注意してください。手順については、Active DirectoryおよびNTドメイン用DirXMLドライバのドライバ実装に関するガイドのパスワード同期に関する節を参照してください。
- Identity Managerドライバシムとドライバ設定をDirXML 1.1aエンジンで実行することはできません。
- Identity Managerドライバ設定をDirXML 1.1aドライバシムで実行することはできません。
- 複数のサーバで同じDirXMLドライバ設定を実行する場合は、これらのサーバで同じバージョンのDirXMLまたはIdentity Manager、および同じバージョンのeDirectoryが実行されていることを確認してください。
パスワードの管理
- より強固なパスワードを要求するAdvanced Password Rules (詳細パスワードルール)、パスワードを忘れた場合のセルフサービス、パスワードのリセットセルフサービスなどの機能をユーザに提供するPassword Policy (パスワードポリシー)を作成できます。Password Policy (パスワードポリシー)を使用したパスワードの管理とパスワードセルフサービスを参照してください。
- NetWare 6.5の初期リリースでユニバーサルパスワードの使用を開始する場合は、新しいPassword Policy (パスワードポリシー)機能を使用する前に、いくつかのアップグレード手順が必要です。(NetWare 6.5のみ)ユニバーサルパスワード割り当ての再作成を参照してください。この手順は、NetWare 6.5 SP2でユニバーサルパスワードの使用を開始する場合には必要ありません。
- Identity Managerパスワード同期では、双方向パスワード同期が提供されており、Password Synchronization 1.0よりも多くのプラットフォームがサポートされています。
- ADまたはNTでPassword Synchronization 1.0を使用している場合は、新しいドライバシムをインストールする前にアップグレード手順を確認してください。Password Synchronization 1.0からIdentity Managerパスワード同期へのアップグレードを参照してください。
- 既存のドライバに双方向パスワード同期機能を追加するのに役立つドライバポリシー「オーバレイ」が用意されています。Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。
Starter PackからIdentity Managerへのアップグレード
その他のNovell製品に付属するDirXML Starter Packソリューションでは、NTドメイン、Active Directory、およびeDirectoryに格納されている情報のライセンス同期が提供されています。さらに、PeopleSoft*、GroupWise(R)、Lotus Notes*などのシステムについては評価版ドライバが付属しており、システムのデータ同期化を調査できます。
また、このソリューションには、ユーザパスワードを同期化する機能も用意されています。PasswordSyncでは、1つのパスワードを覚えておけばどのシステムにもログインできます。管理者はどのシステムからでもパスワードを管理できます。いずれかの環境でパスワードを変更すると、すべての環境でそのパスワードが更新されます。
NetWare 6.5およびNterprise Linux Services 1.0に付属していたDirXML Starter Packは、DirXML 1.1aテクノロジに基づいています。Starter PackをIdentity Managerの最新バージョンにアップグレードする場合は、次の点に注意してください。
管理ツール
- ConsoleOneは、DirXML 1.1aではサポートされていますが、Identity Managerではサポートされていません。
後方互換性
- Identity Managerサーバ上でDirXML 1.1aドライバシムと設定を実行し、ドライバセットのDirXML OverviewでiManager内のドライバを表示できます。ただし、Identity Managerプラグインでは、Identity Managerの形式に変換しない限り、ドライバ設定は表示または編集できません。
Identity Managerプラグインでは、1.1a形式のドライバをクリックすると、変換を求めるメッセージが表示されます。このプロセスはウィザードを使用して簡単に実行でき、ドライバ設定の機能は変更されません。このプロセスの一部として、DirXML 1.1aバージョンのバックアップコピーが保存されます。
- DirXML 1.xドライバのアクティベーションは、Identity Managerエンジンでドライバを実行する場合には引き続き有効です。ただし、ドライバシムをIdentity Managerバージョンにアップグレードした場合は、新しいアクティベーションが必要です。
- ほとんどの場合、Identity ManagerドライバシムはDirXML 1.1a設定で実行できます。アップグレードの情報については、個々のドライバ実装に関するガイドを参照してください。
ただし、ADとNTは例外で、ドライバシムをアップグレードすると、追加ドライバポリシーをいくつか追加しない限りPassword Synchronization 1.0は正しく動作しないので注意してください。手順については、Active DirectoryおよびNTドメイン用DirXMLドライバのドライバ実装に関するガイドのパスワード同期に関する節を参照してください。
- Identity Managerドライバシムとドライバ設定をDirXML 1.1aエンジンで実行することはできません。
- Identity Managerドライバ設定をDirXML 1.1aドライバシムで実行することはできません。
- 複数のサーバで同じDirXMLドライバ設定を実行する場合は、これらのサーバで同じバージョンのDirXMLまたはIdentity Manager、および同じバージョンのeDirectoryが実行されていることを確認してください。
パスワードの管理
- ドライバをアップグレードすると、Starter Packs (DirXML 1.1a)に付属するPassword Synchronization 1.0は、追加ドライバポリシーをいくつか追加しない限り、ADとNTに対しては正しく動作しません。手順については、Active DirectoryおよびNTドメイン用DirXMLドライバのドライバ実装に関するガイドのパスワード同期に関する節を参照してください。
- このアップグレードプロセスに関する詳細な手順については、Password Synchronization 1.0からIdentity Managerパスワード同期へのアップグレードを参照してください。
アクティベーション
- Identity ManagerとDirXML製品はすべて90日以内にアクティベートする必要があります。その他のNovellソフトウェアを購入した場合、DirXML 1.1aエンジンと、NT、AD、およびeDirectory用ドライバのアクティベーションは、DirXML Starter Packに含まれています。DirXML Starter Packからアップグレードした場合は、これらのドライバにアクティベーション認証を再適用しなければならないことがあります。
アクティベーションの詳細については、Novell Identity Manager製品のアクティベーションを参照してください。
Password Synchronization 1.0からIdentity Managerパスワード同期へのアップグレード
Identity Managerパスワード同期には、双方向パスワード同期、追加プラットフォーム、パスワードの同期に失敗した場合の電子メール通知など、多くの機能が用意されています。
Active DirectoryまたはNTドメインでPassword Synchronization 1.0を使用する場合、新しいドライバシムをインストールする前にアップグレード手順を確認することが非常に重要です。
Identity Managerパスワード同期の一般的な情報については、接続システム間のパスワード同期を参照してください。新旧機能の比較、前提条件、各接続システムでサポートされている機能のリスト、既存のドライバにサポートを追加する手順、新機能を使用する方法を示したいくつかのシナリオなどの概念が記載されています。
この節では、次の項目について説明します。
ADまたはNT用のパスワード同期のアップグレード
新しいパスワード同期機能は、別個のエージェントではなくドライバポリシーによって実行されます。つまり、ドライバ設定をアップグレードせずに新しいドライバシムをインストールした場合、Password Synchronization 1.0は既存のユーザに対してのみ動作します。ドライバ設定のアップグレードを完了するまで、新しいユーザ、移動したユーザ、または名前変更されたユーザはパスワード同期に参加しません。
次の一般的な手順に従ってアップグレードしてください。
- ユニバーサルパスワードをサポートするように現在の環境をアップグレードします。Novell Clientを使用している場合は、そのアップグレードも行います。
- Identity Managerドライバシムをインストールして、ADまたはNT用のDirXML 1.xドライバシムを置換します。
- 新しいポリシーをドライバ設定に追加して、ただちにPassword Synchronization 1.0との後方互換性を設定します。
この手順によって、Identity Managerパスワード同期に切り替えるまで、Password Synchronization 1.0を引き続き正常に機能させることができます。
- ドライバポリシーを使用して、新しいIdentity Managerパスワード同期のサポートを追加します。
- 新しいパスワード同期のフィルタをインストールして設定します。
- 必要に応じてSSLを設定します。
- 必要に応じて、Password Policy (パスワードポリシー)を使用してユニバーサルパスワードをオンにします。
- 使用するIdentity Managerパスワード同期のシナリオを設定します。
『Novell Nsure Identity Manager 2管理ガイド』の「パスワード同期の実装」を参照してください。
- Password Synchronization 1.0を削除します。
Active DirectoryおよびNTドメイン用DirXMLドライバの詳細な手順については、ドライバ実装に関するガイドを参照してください。
eDirectory用のパスワード同期のアップグレード
eDirectoryのアップグレードは簡単です。ドライバシムと設定に最新のパッチが適用されていれば、新しいドライバシムは、変更なしに既存のドライバ設定で動作します。アップグレード方法については、『DirXML Driver for eDirectory Implementation Guide (eDirectoryのDirXMLドライバ実装ガイド)』を参照してください。
その他の接続システムのドライバのアップグレード
Identity Managerパスワード同期は、Password Synchronization 1.0よりも多くの接続システムをサポートします。
その他のシステムについてサポートされている機能のリストは、パスワード同期をサポートする接続システムを参照してください。
以前にサポートされていなかった接続システムに対しては、既存のドライバに双方向パスワード同期機能を追加するのに役立つドライバポリシー「オーバレイ」が用意されています。Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。
機密情報の処理
ユニバーサルパスワードは、eDirectory内では4層の暗号化によって保護されているため、非常に安全です。双方向パスワード同期を使用してユニバーサルパスワードを配布パスワードと同期化する場合は、eDirectoryのパスワードを抽出して他の接続システムに送信することになります。パスワードの転送と同期先の接続システムをセキュリティで保護する必要があります。機密情報の処理を参照してください。