Novell Documentation: Novell Identity Manager 3 - パスワード同期をサポートする接続システム

5.2 パスワード同期をサポートする接続システム

ユーザオブジェクトが作成されると、Identity Managerは常に接続システムからパスワードを受け入れることができます。これは、接続システムがユーザの実際のパスワードをそのシステムから提供できない場合でも同じです。

AD、NT、eDirectory、およびNISはIdentity Managerからパスワードを受け入れて、ユーザの実際のパスワードをIdentity Managerに送信することもできます。つまり、これらのシステムは双方向パスワード同期を完全にサポートしています。

発行者チャネルのドライバ環境設定内でポリシーを定義すると、パスワードを作成するために使用できるデータを他のシステムが提供できます。大部分のドライバのドライバ環境設定例には、名字に基づいてデフォルトのパスワードを提供するポリシー例が含まれています。

接続システムは、Identity Managerからのパスワードを受け入れる各種機能を備えています。一部の接続システムは、新しいアカウントに設定されている初期パスワードの設定をサポートしますが、パスワード変更イベントはサポートしません。

サンプルドライバ環境設定の機能は、ドライバマニフェストに記載されています。以降の表は、ドライバマニフェストにない追加情報を示しています。この表は、新しいアカウントに設定されている初期パスワードをアプリケーションが受け入れるかどうかと、既存のパスワードへの変更を受け入れるかどうかを示しています。マニフェストでは、接続システムがパスワードを受け入れられることだけが示されており、この違いについては示されていません。

類似した機能を持つサンプルドライバ環境設定を参照できるように、ドライバはグループ化されています。

5.2.1 双方向のパスワード同期をサポートするシステム

次の接続システムでは、双方向のパスワード同期がサポートされています。これらは、接続システム上のユーザの実際のパスワードを提供し、Identity Managerからパスワードを受け入れることができます。

表 5-2 双方向のパスワード同期をサポートするシステム

接続システムのドライバ	購読者チャネル	購読者チャネル	購読者チャネル	発行者チャネル
接続システムのドライバ	アプリケーションが初期パスワードの設定を受け入れることができる	アプリケーションがパスワードの変更を受け入れることができる	アプリケーションがパスワードの確認をサポートしている	アプリケーションがパスワードを提供(同期)できる
Active Directory	○	○	○	○
eDirectory¹	○	○	○	○
NTドメイン	○	○	×	○
NIS	○	○	○	○
SIF	○	○	×	○

¹アイデンティティボールトツリー間では、ユニバーサルパスワードがユーザに対して有効化されていない場合でも、ユーザに双方向パスワード同期を提供できます。セクション 5.8.2, シナリオ1: NDSパスワードを使用した、2つのアイデンティティボールト間の同期を参照してください。

5.2.2 Identity Managerのパスワードを受け入れるシステム

次の接続システムは、Identity Managerからある程度までパスワードを受け入れることができます。これらは、接続システム上のユーザの実際のパスワードをIdentity Managerには提供できません。

ユーザの実際のパスワードは提供できませんが、接続システム上の他のユーザデータに基づいて、発行者チャネル上のポリシーを使用してパスワードを作成するように設定できます(サンプルのドライバ環境設定には、名字に基づいたデフォルトのパスワードが示されています)。

表 5-3 Identity Managerのパスワードを受け入れるシステム

接続システムのドライバ	購読者チャネル	購読者チャネル	購読者チャネル	発行者チャネル
接続システムのドライバ	アプリケーションが初期パスワードの設定を受け入れることができる	アプリケーションがパスワードの変更を受け入れることができる	アプリケーションがパスワードの確認をサポートしている	アプリケーションがパスワードを提供(同期)できる
Groupwise®	○	○	×	×²
JDBC	○³	×4	×	×⁵
LDAP	○⁶	○⁶	○	×
Notes	○	○⁷	○⁷	×
SAP User Management	○	○	×	×

²GroupWiseは2つの認証方法をサポートします。

独自の認証を提供し、ユーザパスワードを維持します。
LDAPを使用してeDirectoryに対して認証し、パスワードは維持しません。
このオプションを使用する場合、GroupWiseはドライバによって同期されたパスワードを無視します。

³初期パスワードを設定する機能は、Oracle*、MS SQL、MySQL*、Sybase*など、OSユーザアカウントがデータベースのユーザアカウントと異なるすべてのデータベースで利用できます。

⁴JDBCのIdentity Managerドライバを使用して接続システム上でパスワードを変更できますが、サンプルのドライバ環境設定には示されていません。

⁵パスワードをテーブルに格納する際にデータとして同期できます。

⁶対象となるLDAPサーバでuserpassword属性を設定できる場合。

⁷Notesドライバはパスワードの変更を受け入れて、Lotus NotesのHTTPPasswordフィールドのパスワードのみを確認できます。

5.2.3 パスワードを受け入れまたは提供しないシステム

次の接続システムはパスワードを受け入れることができません。また、接続システムでサンプルのドライバ環境設定を使用して、ユーザのパスワードを提供することもできません。

ユーザのパスワードをIdentity Managerに提供することはできませんが、接続システム上の他のユーザデータに基づいて、発行者チャネル上のポリシーを使用してパスワードを作成するように設定できます(サンプルのドライバ環境設定には、名字に基づいたデフォルトのパスワードが示されています)。

表 5-4 パスワードを受け入れまたは提供しないシステム

接続システムのドライバ	購読者チャネル	購読者チャネル	購読者チャネル	発行者チャネル
接続システムのドライバ	アプリケーションが初期パスワードの設定を受け入れることができる	アプリケーションがパスワードの変更を受け入れることができる	アプリケーションがパスワードの確認をサポートしている	アプリケーションがパスワードを提供(同期)できる
区切りテキスト	×⁸	×⁸	×⁸	×⁸
Exchange 5.5	×	×	×	×
PeopleSoft 3.6	×	×	×	×
PeopleSoft 4.0	×	×	×	×
SAP HR	×	×	×	×

⁸区切りテキスト用のIdentity Managerドライバには、パスワード同期を直接サポートするドライバシムの機能がありません。ただし、このドライバは、同期先の接続システムによってはパスワードを処理するように設定できます。

5.2.4 パスワード同期をサポートしないシステム

次の接続システムは、パスワード同期での使用には適していません。

表 5-5 パスワード同期をサポートしないシステム

接続システムのドライバ	購読者チャネル	購読者チャネル	購読者チャネル	発行者チャネル
接続システムのドライバ	アプリケーションが初期パスワードの設定を受け入れることができる	アプリケーションがパスワードの変更を受け入れることができる	アプリケーションがパスワードの確認をサポートしている	アプリケーションがパスワードを提供(同期)できる
Avaya* PBX	×	×	×	×
エンタイトルメントサービスドライバ	×	×	×	×
ループバックサービスドライバ	×	×	×	×
手動タスクサービスドライバ	×	×	×	×