従来、接続システムのエンタイトルメントはドライバごとに管理され、その方法はポリシービルダで作成するポリシーのようなドライバ設定ポリシーの作成と編集に限られていました。この従来型の分散モデルでは、別の管理者が各Identity Managerドライバと接続システムを管理することがほとんどで、システムのリソースをユーザが利用できるかどうかを決定するビジネスポリシーは、各接続システムドライバのドライバ設定ポリシーで別々に「ハードコード」されます。
役割ベースエンタイトルメントモデルは、1人または少数の管理者がエンタイトルメントポリシーを制御する権利を持つ環境に適しています。このような管理者は、Identity Manager全体を理解している必要がありますが、役割ベースエンタイトルメントインタフェースを使用するためにIdentity ManagerまたはXSLTまたはDirXMLスクリプトに関する十分な専門知識はなくてもかまいません。
条件が一致した場合、役割ベースエンタイトルメントポリシーによりビジネスリソ-スを自動的に付与または取り消すことができます。エンタイトルメントとは、リソ-スへのアクセスの許可書のようなものです。許可書があると指定したリソ-スにアクセスでき、そのような許可書がないとアクセスできません。実際の例としては、ユーザが条件1、2、および3を満たさない場合は、役割ベースエンタイトルメントポリシーを介してユーザがグループHのメンバーになる一方で、ユーザが条件4および5を満たす場合はユーザがグループIのメンバーになるように指定できます。
役割ベースエンタイトルメントの管理を設定するには、次の3つのステップを行います。
役割ベースエンタイトルメントは、エンタイトルメントサービスドライバ(Entitlement.xml)に依存しています。このドライバは、エンタイトルメントポリシーでユーザがメンバーシップを持っているかどうかを監視するエンジンサービスです。ユーザがエンタイトルメントポリシーのダイナミックグループのダイナミックメンバーシップ条件に合致するか、またはそのメンバーシップにスタティックに含まれる場合、エンタイトルメントサービスドライバは、ユーザオブジェクトのDirXML-EntitlementRef属性の情報を更新します。
セクション 6.2.1, エンタイトルメントをサポートする、事前設定済みのIdentity Managerドライバに一覧表示したシステムについては、Identity Managerドライバ設定をインポートするときにエンタイトルメントを有効にできます。Identity Managerには、エンタイトルメント、エンタイトルメントを実装するためのポリシー、およびエンタイトルメントアクティビティのリッスンが有効になっているドライバがすでに含まれている、事前設定済みのいくつかのドライバが付随しています。提供されたポリシーをレビューすることができます。これらのポリシーでは、DirXML-EntitlementRef属性を監視し、エンタイトルメントを付与または取り消すことにより、エンタイトルメントがサポートされています。
次のいずれかが発生した場合のみ、エンタイトルメントサービスドライバによってDirXML-EntitlementRef属性が更新されます。
エンタイトルメントポリシーを使用すると、接続システム上のエンタイトルメントおよびアイデンティティボールトでの権限を付与することができます。接続システムのエンタイトルメントには、次のものがあります。
エンタイトルメントで作成できるいくつかのオプションについて、有効化されたエンタイトルメントを持つドライバ設定で示しています。
各ドライバセットで使用するエンタイトルメントサービスドライバは1つであるため、エンタイトルメントポリシーが管理できるのは、当該ドライバセットに関連付けられているサーバ上の読み書き可能レプリカまたはマスタレプリカに含まれるユーザだけです。
役割ベースエンタイトルメントポリシーの機能は、Identity Managerに基づいています。したがって、接続システムを管理するには、Identity Managerドライバをインストールして適切に設定し、Identity Managerプラグインをインストールする必要があります。
さらに、エンタイトルメントポリシーの割り当てとIdentity Managerドライバ設定との間に衝突が発生するのを回避するため、ビジネスポリシーと、それらのポリシーがIdentity Managerでどのように管理されているかに注意してください。Identity Managerのエンタイトルメントポリシーおよびドライバ設定のポリシーは、属性を管理している間は重複または衝突することはできません。