6.7 エンタイトルメントポリシーの作成

エンタイトルメントポリシーを作成するには、提供されるウィザードを使用します。

  1. エンタイトルメントサービスドライバが設定されていること、および必要なドライバ設定が作成されていることを確認します。

  2. iManagerで、[役割ベースエンタイトルメント]>[役割ベースエンタイトルメント]の順にクリックします。

  3. ドライバセットを選択します。

    エンタイトルメントポリシーは、ドライバセットごとに設定します。

    既存のエンタイトルメントポリシーのリストが、次の図に示されるページのように開きます。初めて役割ベースのエンタイトルメントを使用する場合は、リストに表示されるポリシーはありません。

    エンタイトルメントポリシーのリスト

  4. [新規]をクリックします。

    エンタイトルメントポリシーウィザードが開きます。

  5. ウィザードのステップ1~ステップ6に従って、新しいポリシーを作成します。ウィザードの各ステップについては、オンラインヘルプを参照してください。

    1. ステップ1で、ポリシーに名前を付けておよび説明を入力します。

    2. ステップ2で、検索パラメータをフィルタ処理するメンバーシップを定義します。

    3. ステップ3で、検索条件のメンバーを含めたり除外することによって、スタティックメンバーを定義します。

    4. ステップ4で、Identity Managerドライバを選択し、含めるエンタイトルメントを指定します。エンタイトルメントはセクション 6.4, iManagerを介したXMLでのエンタイトルメントの記述で作成しました。[ドライバの追加]をクリックし、追加するエンタイトルメントを選択します。

      エンタイトルメントの選択

    5. ステップ5で、このエンタイトルメントポリシーをトラスティにするオブジェクトを参照します。

    6. ステップ6で、サマリを読み、エンタイトルメントポリシーが実行したい内容になっていることを確認します。確認後問題なければ[終了]をクリックし、問題があれば[戻る]をクリックします。

  6. エンタイトルメントポリシーの作成により、エンタイトルメントサービスドライバがオフになります。[再起動]をクリックしてセッションを完了します。

6.7.1 エンタイトルメントポリシーのためのメンバーシップの定義

Identity Managerドライバと同様、各エンタイトルメントポリシーが管理できるのは、割り当てられたサーバ上のマスタレプリカまたは読み書き可能レプリカに存在するオブジェクトだけです。各エンタイトルメントポリシーは、特定のサーバに割り当てられている1つのドライバセットオブジェクトに関連付けられます。

エンタイトルメントポリシーのメンバーになることができるのは、ユーザオブジェクト(およびユーザのクラスに基づく他のオブジェクトタイプ)だけです。エンタイトルメントポリシーの[メンバーシップ]ページを表示するには、[役割ベースエンタイトルメント]>[役割ベースエンタイトルメント]の順に選択し、エンタイトルメントポリシーリストから編集するエンタイトルメントポリシーをハイライトし、[編集]を選択します。Internet Explorerブラウザでは[メンバーシップ]タブを選択します。Firefoxブラウザではプルダウンメニューから[ダイナミックメンバーの編集]を選択します。

エンタイトルメントポリシーは、ダイナミックグループオブジェクトです。エンタイトルメントポリシーのメンバーシップは、ダイナミックおよびスタティックの2つの方法で定義できます。同じエンタイトルメントポリシーで、この両方の方法を使用できます。

  • ダイナミック: 役職名に「マネージャ」という語が含まれるかなど、オブジェクトの属性値に基づき、メンバーシップの条件を定義できます。指定する条件は、LDAPフィルタに変換されます。

    条件に合致するユーザは自動的にエンタイトルメントポリシーの一部になります。各ユーザを個別にポリシーに追加する必要はありません。ダイナミックメンバーシップは、ダイナミックグループオブジェクトと同様です。

    オブジェクトが変更されダイナミックメンバーシップの条件に合致しなくなった場合は、エンタイトルメントは自動的に取り消されます。

    図 6-2 ダイナミックメンバーおよびスタティックメンバーの編集

  • スタティック: ダイナミックメンバーシップの条件(LDAPフィルタ)の作成に加え、特定のユーザを含めたり、除外したりすることができます。

    フィルタの条件に合致しないメンバーは、スタティックに追加できます。フィルタの条件に合致していても、エンタイトルメントポリシーに含める必要がないメンバーは除外できます。

6.7.2 エンタイトルメントポリシーのためのエンタイトルメントの選択

エンタイトルメントを使用すると、接続システム上のサービスおよびアイデンティティボールトの権利へのアクセスを付与または取り消すことができます。

インストールする有効なエンタイトルメントを持つドライバは、エンタイトルメントポリシーを使用して割り当てることができるエンタイトルメントのリストに付属しています。エンタイトルメントポリシーで使用できる、独自のエンタイトルメントを作成できます。ドライバが提供できるエンタイトルメントは、ドライバの子オブジェクトです。これは、ドライバおよび接続システムの機能を示すためにドライバ開発者が作成するものです

アイデンティティボールト内のオブジェクトに対するトラスティ権は、エンタイトルメントポリシーのメンバーにすぐに付与されます。デフォルトでは、次にエンタイトルメントポリシーメンバーシップに使用される属性が変更されたとき、またはユーザが別のコンテナに移動されたり名前変更されたりしたときに、接続システムのエンタイトルメントがエンタイトルメントポリシーの各メンバーに付与されます。

接続システムのエンタイトルメントには、次のものがあります。

  • アカウント
  • 電子メール配布リストのメンバーシップ
  • NOSリストのグループメンバーシップ
  • 指定した値が入力された、接続システムで対応するオブジェクトの属性
  • その他のカスタマイズ可能なエンタイトルメント

接続システムのアカウント

エンタイトルメントポリシーにエンタイトルメントを追加するには、[エンタイトルメント]ページに移動してドライバを選択します。ドライバが提供するエンタイトルメントを示すポップアップウィンドウが表示されます。

たとえば、次の図は、GroupWiseドライバにより2種類のエンタイトルメントが提供され、リストの先頭に[GroupWiseユーザアカウント]が表示されていることを示します。

図 6-3 エンタイトルメントを定義するインタフェース

電子メール配布リストおよびNOSリストのメンバーシップ

接続システム上のグループにメンバーシップを割り当てるには、ドライバが提供するエンタイトルメントのリストからメンバーシップエンタイトルメントを選択します。

次の図は、[GroupWise配布リスト]がリストの2番目に表示されている例を示します。

図 6-4 GroupWise配布リストの選択

この例で[GroupWise配布リスト]を選択した場合、次の図の例のようなクエリポップアップが表示されます。

図 6-5 エンタイトルメントのクエリ

エンタイトルメントポリシーインタフェースでは、電子メール配布リストまたはNOSリストを問い合わせることができます。クエリが実行された後、キャッシュされたリストを表示するよう選択できます。

ドライバは完全なリストを返すように設定されているので、接続システムに存在するリストから選択できます。

メモ:完全なリストを返すクエリではなく、指定したグループ名にリストを制限するようドライバをカスタマイズできます。

接続システムの属性値

接続システムのユーザアカウントには、属性値を割り当てられます。このインタフェースにより、ユーザアカウントに割り当てる値を入力できます。

次の図は、Notesの属性Departmentに属性値を追加する例を示します。

図 6-6 属性値の追加