6.8 役割ベースエンタイトルメントポリシー間での衝突の解決

6.8.1 衝突の概要

エンタイトルメントポリシーを作成する場合、特定のユーザに影響を与えるポリシーがそのユーザへのエンタイトルメントの割り当てと衝突する可能性があります。

このような衝突の解決方法を、次に説明します。一部のエンタイトルメントについては、衝突の解決を変更できます。

  • 値のないエンタイトルメントが付加された場合。 多くの場合、アカウントのエンタイトルメントには値がありません。ユーザがエンタイトルメントポリシーによって接続システムのアカウントを付与される場合、ユーザは接続システムのアカウントを受け取ります。別のエンタイトルメントポリシーが衝突するかどうかは関係なく、結果が付加されます。

    これは常に正しく、アカウント付与についての衝突の解決方法は変更できません。

    値のないエンタイトルメントは、照明のスイッチに例えることができます。「オン」または「オフ」、付与されたか付与されないかです。

    たとえば、「マネージャエンタイトルメントポリシー」によってJean Chandler氏にExchangeアカウントが付与されるにもかかわらず、Jean Chandler氏が、同様にExchangeアカウントを付与する「メールルーム従業員エンタイトルメントポリシー」からは除外されている場合、Jean氏はExchangeアカウントを取得できます。

  • 値のあるエンタイトルメントがデフォルトで付加されるが、優先度に従って解決するよう選択できる場合 - グループメンバーシップなどのエンタイトルメントには、値、または値のある属性のグループ名のリストがあります。デフォルトでは、この種類のエンタイトルメントも付加できます。

    このようなエンタイトルメントの衝突の解決は、必要に応じて変更できます。

    各エンタイトルメントの衝突解決を抑制する設定は、エンタイトルメントで定義されます。ドライバが提供する各種類のエンタイトルメントは、マニフェストに別々に記述されます。値のあるエンタイトルメントは、conflict-resolution属性を持ちます。conflict-resolution属性は、エンタイトルメントごとに別々に設定されます。デフォルト設定は「conflict-resolution="priority"」です。「conflict-resolution="union"」も可能です。

    • conflict-resolution=“union” —  「union」という値は、エンタイトルメントが付加可能であることを意味します。ユーザには、ポリシーのメンバーシップにより割り当てられているすべてのエンタイトルメントが付与されます。異なるエンタイトルメント値は追加されるだけで、ユーザはそれらすべてを取得します。

      たとえば、Jameel氏が、「トレードショーメーリングリスト」というGroupWiseの電子メール配布リストのメンバーシップを付与する「トレードショーコントラクタポリシー」のメンバーであり、「トレードショーメーリングリスト」という電子メール配布リストも割り当てる「トレードショーマネージャポリシー」のメンバーシップから除外されている場合でも、電子メール配布リストのメンバーシップが引き続き付与されます。

      別の例を挙げると、「メールルームポリシー」により、「メールルームスタッフ」というActive DirectoryグループのメンバーシップがConsuela氏に付与され、「緊急ボランティアによる緊急対応ポリシー」というActive Directoryグループのメンバーシップも付与されている場合、Consuela氏には両方のActive Directoryグループのメンバーシップが付与されます。

      この設定では、ポリシーのリスト内のエンタイトルメントポリシーの順序は、エンタイトルメントについては重要ではありません。

    • conflict-resolution=“priority” —  「priority」という値は、2つの異なるポリシー間の値が衝突した場合、または1つのポリシーに含まれるユーザが別のポリシーでは除外されている場合、そのユーザに付与されるエンタイトルメントは、エンタイトルメントポリシーのリストでより上位に記述されているエンタイトルメントポリシーのエンタイトルメントのみになることを意味します。

      前の例は、この設定では別の結果となります。

      前のJameel氏の例では、GroupWiseの電子メール配布リストのエンタイトルメントが「priority」という値を持ち、「トレードショーマネージャポリシー」が「トレードショーコントラクタポリシー」より上位にリスト表示される場合、「トレードショーメーリングリスト」のメンバーシップは、Jameel氏に付与されません。

      前のConsuela氏の例では、Active Directory NOSグループメンバーシップのエンタイトルメントが「priority」という値を持ち、「メールルームポリシー」が「緊急ボランティアポリシー」より上位にある場合、Consuela氏にはメールルームスタッフグループのメンバーシップのみが付与されます。衝突の解決が付加ではなく優先度によって設定されているため、緊急対応グループのメンバーシップは付与されません。

      たとえば、役割ベースエンタイトルメントを使用して別のシステムでは階層構造にユーザを配置するよう環境を設定した場合などは、この機能が役立ちます。任意の1ヶ所だけにユーザを配置し、同時に2ヶ所に配置できないようにするとします。

      設定は、ドライバごとに提供される各エンタイトルメントには依存しない点に注意してください。

      原則として、「priority」の設定を使用する場合、管理者またはマネージャのポリシーは、エンドユーザまたは各貢献者のポリシーより上位に配置する必要があります。狭い範囲のメンバーシップを持つグループは、広い範囲のメンバーシップを持つグループよりも上位に配置する必要があります。

6.8.2 各エンタイトルメントの衝突の解決方法の変更

  1. iManagerで、[Identity Manager]>[Identity Managerの概要]の順にクリックし、ドライバセットを選択します。

    ドライバセットに含まれるすべてのドライバのグラフィック画面のページが表示されます。

    ドライバセットの選択

    図 6-7 ドライバセット

  2. [ドライバ]状態ボタンをクリックし、[ドライバの停止]を選択します。

  3. 変更するエンタイトルメントを提供するドライバのドライバアイコンをクリックします。

    ドライバのポリシーおよびドライバのアイコンを示すページが表示されます。画面の中央で、[すべてのエンタイトルメントを表示]アイコンを選択します(赤い丸で示しています)。

    [すべてのエンタイトルメントを表示]アイコンの選択

  4. [エンタイトルメントの管理]ページでエンタイトルメント名をクリックし、XMLビューアにエンタイトルメントを表示します。

  5. XML編集の有効化]チェックボックスをオンにします。

  6. XMLで、変更するエンタイトルメントの定義を検索します。

    たとえば、次の行を検索します。

    <entitlement conflict-resolution="union" description="Grants membership to GroupWise Distribution lists" display-name="GroupWise Distribution Lists" name="gwDistLists">

  7. conflict-resolutionの値を変更します。次の2つの値を指定できます。

    conflict-resolution="union"

    conflict-resolution="priority"

    これらの値の詳細については、役割ベースエンタイトルメントポリシー間での衝突の解決を参照してください。

  8. 再起動]をクリックし、エンタイトルメントサービスドライバを再起動します。

6.8.3 エンタイトルメントポリシーの優先度の設定

デフォルトでは、エンタイトルメントポリシーのリスト内の順序に意味はありません。これは、Identity Managerに付属のドライバには、各エンタイトルメントの衝突の解決方法として「conflict-resolution="union"」が設定されているためです。

任意のエンタイトルメントを「conflict-resolution="priority,"」に変更した場合、エンタイトルメントポリシーのリスト内の順序は意味を持ちますが、対象となるのは変更したエンタイトルメントについてのみです。これらの値の詳細については、役割ベースエンタイトルメントポリシー間での衝突の解決を参照してください。

エンタイトルメントポリシーの順序を変更するには、エンタイトルメントポリシーのリストの横にある矢印ボタンを使用します。リスト内の最初のポリシーは、優先度が最も高いことを示します。

  1. iManagerで、[役割ベースエンタイトルメント]>[役割ベースエンタイトルメント]の順にクリックします。

  2. ドライバセットを検索して選択します。

    エンタイトルメントポリシーのリストを示すページが表示されます。

  3. 矢印ボタンを使用してポリシーをリスト内で上下に移動し、エンタイトルメントポリシーの優先度を変更します。

    エンタイトルメントポリシーをリストの最上位に移動すると、最も高い優先度が与えられます。

    ポリシーの優先度の調整iManagerのエンタイトルメントポリシーのリストで、マウスを上矢印に合わせると、マウスオーバーテキストに「Adjust priority up」と表示されます。

  4. 閉じる]をクリックしてドライバを再起動します。

    優先度の変更は、ドライバを再起動するまでは有効になりません。