以下の情報は、特定の実装だけでなく、すべてのエンタイトルメントに適用されます。
エンタイトルメントの付与または取り消しの結果は、制御できます。各ドライバには、「付与」または「取り消し」の意味を制御するサポートオプションのリストが提供されています。
たとえば、GroupWiseアカウントを追加する場合、付与によって実際には無効な状態のアカウントがユーザに付与されるという意味になるよう指定できます。これにより、ユーザがアカウントにアクセスするには、管理者による作業が必要になります。または、アカウントを有効にするように選択でき、これがデフォルトです。
デフォルトでは、ドライバ設定は、データを最も確実に確保できるオプションを使用します。たとえば、管理者がポリシーを変更する際に誤りがあった場合に、意図せずアカウントが失われることがないよう、GroupWiseアカウントの削除のデフォルトの意味は「無効」に設定されています。別の例を挙げると、Identity Managerドライバ設定は、別のシステムのユーザアカウントからの値のあるエンタイトルメントを取り消しません。ユーザに電子メール配布リストのメンバーシップが付与され、後にユーザがエンタイトルメントポリシーの条件に合致しなくなった場合、そのユーザは単にポリシーメンバーシップを取り消されます。アカウントは無効になりますが、グループメンバーシップおよび属性値は削除されません。別の結果が必要な場合は、Identity Managerのベテランユーザがドライバ設定をカスタマイズできます。
エンタイトルメントの取り消しの解釈は特に重要です。役割ベースエンタイトルメント機能を使用すると、研究室環境で結果をテストせずに、運用環境で組織のエンタイトルメントを一括して変更できるためです。
事前設定済みのドライバのグローバル設定の変数を編集すると、付与または取り消しの解釈の設定を変更できます。独自のカスタム設定を作成している場合、エンタイトルメントの付与および取り消しを解釈するGCVを追加できます。
役割ベースエンタイトルメントは、ポリシーのメンバーシップに基づき、アカウントなどのエンタイトルメントを一括して変更できるように設計されています。ただし、これは、ポリシーの変更時に誤りがあると問題になる可能性があることを意味します。Identity Managerに付属のドライバ設定では、影響の最も少ない設定が使用されています。GCVを使用して、意図しないデータの損失を回避する方法を理解する必要があります。
たとえば、削除は、アカウントのエンタイトルメントの取り消しを解釈するGCVの値として使用しないことをお勧めします。
新しいエンタイトルメントポリシーを作成または編集する際にデータを保護するもう1つの方法は、ポリシーの編集が終了しないうちは、ドライバをオフにして変更できないようにすることです。編集が完了したら、エンタイトルメントポリシーインタフェースの[再起動]ボタンを使用し、ドライバを手動で再起動します。同様に、別のユーザがエンタイトルメントポリシーを編集している可能性がある場合に、[再起動]ボタンを使用してエンタイトルメントサービスドライバを再起動しようとすると、他のユーザの変更作業が完了するまではドライバを再起動しないようにプロンプトが表示されます。
接続システム間のパスワード同期で説明するとおり、パスワード同期は、役割ベースエンタイトルメントを使用するドライバに対しては、他のドライバと同じ方法で管理されます。