6.2 エンタイトルメントの作成: 概要

エンタイトルメントで何を実行したいのかを事前に知っておく必要があります。エンタイトルメントは、ポリシーを介してIdentity Managerドライバに組み込んだ機能から動作します。これらのドライバポリシーによって、ルールが実装され、アイデンティティボールトと接続システムとの間でイベントが処理されます。Identity Managerドライバのポリシーで何をするかを指定しない場合、エンタイトルメントは機能しません。たとえば、コマンドポリシーの[Check User Modify for Group Membership (グループメンバシップのユーザ変更を確認する)]ルールの[action (アクション)]セクションを指定しない場合、グループメンバーシップエンタイトルメントの付与または取り消しの試行は無視されます。

すべての接続システムリソ-スに対する付与および取り消しの機能を正しく設計するためには、Identity Managerで何を実行するのかを正確に知っておく必要があります。次の4つのステップの手順は、エンタイトルメントの作成および使用の計画に役立ちます。

  1. ビジネスの場で何を実行する必要があるのかを知っておきます。Identity Managerを介してほとんどすべてを設計および実装できますが、定義されていないいくつかの事柄を実装する前に、何をしたいのかを知っておく必要があります。何をしたいのかに関する番号付きリストを作成します。
  2. 番号付きリストの1つのポイントを表すエンタイトルメントを定義します。値のないエンタイトルメントと値のあるエンタイトルメントを作成できます。値のあるエンタイトルメントは、外部クエリから値を取得できます。管理者が定義した形式にすることも、自由形式にすることもできます。セクション 6.4.6, 独自のエンタイトルメントを作成するためのエンタイトルメントの例に例を示しています。
  3. Identity Managerドライバにポリシーを追加し、設計されたエンタイトルメントを実装します。Identity Managerドライバ用のポリシーを作成するには、接続システムで情報が処理および受信される方法、およびNovell® eDirectory™に情報が保存される方法について、XSLTまたはDirXMLスクリプトに精通している必要があります。優れたDirXML*のプログラマでない限り、これはコンサルタントの仕事です。
  4. エンタイトルメントを付与または取り消すための管理エージェントを設定します。自動処理にする場合、役割ベースエンタイトルメントを使用します。手動処理にする場合、ワークフローベースのプロビジョニングを使用します。

6.2.1 エンタイトルメントをサポートする、事前設定済みのIdentity Managerドライバ

Identity Managerには、エンタイトルメント、エンタイトルメントを実装するためのポリシー、およびエンタイトルメントアクティビティのリッスンが有効になっているドライバがすでに含まれている、事前設定済みのいくつかのドライバが付随しています。ドライバを初めてインストールするとき、事前設定済みの要素をドライバの一部にするため、エンタイトルメントを有効にする必要があります。次のドライバはエンタイトルメントをサポートするよう事前設定済みです。

  • Active Directory*
  • Exchange
  • GroupWise®
  • LDAP
  • NIS
  • Lotus* Notes*
  • NTドメイン
  • RACF

これらの事前設定済みのドライバでは、上記の4つのステップの最初の3つが実行されます。ドライバに含まれているエンタイトルメントのタイプの例は、最も一般的なユーザアカウント、グループ、および電子メール配布リストの付与および取り消しの各シナリオで使用できます。具体的には、次のようなシナリオがあります。

  • Active Directory: アカウント、グループメンバーシップ、Exchangeメールボックスの付与および取り消し
  • Exchange 5.5: メールボックスとグループメンバーシップの付与および取り消し
  • GroupWise: アカウントの付与および取り消し、配布リストのメンバーの付与および取り消し
  • LDAP: ユーザアカウントの付与および取り消し
  • Linux*およびUNIX*: アカウントの付与および取り消し
  • Lotus Notes: ユーザアカウントとグループメンバーシップの付与および取り消し
  • NTドメイン: ユーザアカウントとグループメンバーシップの付与および取り消し
  • RACF: グループアカウントとグループメンバーシップの付与および取り消し

これらのエンタイトルメントおよびポリシーの例は、(ユーザの必要を満たしていれば)そのまま使用できます。必要を満たすように変更することもできます。またはこれらを例として使用し、iManagerまたはDesignerを使用して独自のエンタイトルメントおよびポリシーを作成できます。繰り返しますが、事前設定済みのドライバのエンタイトルメントを使用するには、事前設定済みのドライバをDesignerまたはiManagerで初めて作成するときにエンタイトルメントを有効にする必要があります。事前設定済みのエンタイトルメントは、ドライバを再作成しない限り、後で追加することはできません。

Identity Manager 2.xでエンタイトルメントを使用していて、これらのエンタイトルメントをIdentity Manager 3で使用するには、[Identity Managerユーティリティ]の[エンタイトルメントのアップグレード]オプションを実行します。

6.2.2 他のIdentity Managerドライバでのエンタイトルメントの有効化

事前設定済みのエンタイトルメントが含まれていないIdentity Managerドライバで、エンタイトルメントを使用することもできます。ドライバでエンタイトルメントのサポートを有効にするには、DirXML-EntitlementRef属性をドライバフィルタに追加します。これには次の操作を行います。

  1. Identity Manager]>[Identity Managerの概要]の順に選択します。
  2. ドライバがある場所でドライバセットを参照し、[検索]をクリックします。
  3. [Identity Managerの概要]画面で、表示されている[ドライバセット]からドライバオブジェクトを選択します。
    [ドライバセット]からのドライバの選択
  4. [ドライバセット]のドライバをダブルクリックし、ドライバの画面を表示します。アイデンティティボールトの右側の[ドライバフィルタ]アイコンをクリックします(赤い丸で示しています)。
    購読者チャネルドライバフィルタを選択します
  5. [フィルタ]ページで[属性の追加]を選択し、下部までスクロールして[すべての属性を表示]を選択します。[DirXML-EntitlementRef (DirXML-EntitlementRef)]属性を選択し、[OK]をクリックします。
    [DirXML-EntitlementRef (DirXML-EntitlementRef)]属性を選択します
  6. [フィルタ]ページで[DirXML-EntitlementRef (DirXML-EntitlementRef)]を選択します。[Subscribe (購読)]ヘッダで、[通知]を選択します。[OK]をクリックします。
    [Subscribe (購読)]ヘッダで[通知]を選択します
  7. ドライバ上でDesignerを介してエンタイトルメントを作成すると、この処理は自動的に実行されます。