1.2.1 メタディレクトリエンジン

メタディレクトリエンジンは、eDirectoryインタフェースと同期エンジンの2つのコンポーネントに分けることができます。

1.2.2 ドライバ環境設定ファイル

ドライバ環境設定は、Identity Managerに含まれる事前設定済みのXMLファイルです。これらの環境設定ファイルを、iManagerおよびDesignerのウィザードを使用してインポートできます。

ドライバ環境設定にはサンプルポリシーが含まれます。運用環境での使用を目的としたものではなく、ユーザが変更して使用できるテンプレートとして提供されています。

1.2.3 Identity Managerのイベントキャッシュ

eDirectoryから生成されるすべてのイベントは、正常に処理されるまでイベントキャッシュに格納されています。これによって、接続不良、システムリソースの損失、ドライバの入手不能、またはその他のネットワーク障害によってデータが失われることを防ぎます。

1.2.4 ドライバシム

ドライバシムは、接続システムとアイデンティティボールトとの間における情報の管路として機能します。シムはJava、C、またはC++のいずれかで記述されます。

メタディレクトリエンジンとドライバシムの間の通信は、イベント、クエリ、および結果を記述したXMLドキュメントの形式で行われます。ドライバシムは一般的にはドライバと呼ばれます。これは、アイデンティティボールトと接続システムとの間で情報が転送される管路です。

シムでサポートされているオブジェクトイベントは次のとおりです。

また、Identity Managerが接続システムを照会できるように、シムは定義済みクエリの機能をサポートしている必要があります。

接続システムでアクションを引き起こすイベントがアイデンティティボールトで発生すると、Identity Managerは、そのアイデンティティボールトイベントを記述するXMLドキュメントを作成し、購読者チャネルを介してドライバシムに送信します。

接続システムでイベントが発生すると、接続システムイベントを記述するXMLドキュメントがドライバシムによって生成されます。続いて、ドライバシムが発行者チャネルを使用してそのXMLドキュメントをIdentity Managerに送信します。Identity Managerは、発行者ポリシーを使用してイベントを処理した後、適切なアクションを実行するようアイデンティティボールトに指示します。

1.2.5 ドライバセット

ドライバセットは、複数のIdentity Managerドライバを格納するコンテナオブジェクトです。一度に1つのドライバセットを1つのサーバに関連付けることができます。このため、実行中のドライバはすべて同じドライバセットにグループ化する必要があります。

ドライバセットオブジェクトは、そのオブジェクトを使用しているサーバ上にある、完全な読み書き可能レプリカに存在しなければならないため、ドライバセットをパーティションに分割することをお勧めします。ユーザのレプリカが別のサーバに移動された場合に、ドライバオブジェクトも移動されないようにするためです。

次の図は、Designerでドライバセットがどのように表示されるのかを示します。

図 1-2 Designerでのドライバセット

次の図は、iManagerでドライバセットがどのように表示されるのかを示します。

図 1-3 iManagerでのドライバセット

DesignerのModeler図 1-2またはiManagerの概要ページ図 1-3から、次の処理を実行できます。

1.2.6 ドライバオブジェクト

ドライバオブジェクトは、アイデンティティボールトと統合されている接続システムに接続されているドライバを表します。ドライバオブジェクトとその環境設定パラメータは、次のコンポーネントで構成されています。

iManagerでは、［Identity Managerドライバの概要］にアクセスして、既存のドライバのパラメータ、ポリシー、スタイルシート、およびエンタイトルメントを変更できます。Identity Managerドライバの概要を次に示します。

図 1-4 Identity Managerドライバの概要

ドライバオブジェクトは、eDirectoryの権利の確認にも使用されます。ドライバオブジェクトには、読み込みまたは書き込みを行うオブジェクトに対して、必要なeDirectory権利を付与する必要があります。そのためには、ドライバオブジェクトを、ドライバの同期先eDirectoryオブジェクトのトラスティにするか、ドライバオブジェクトに同等セキュリティを付与します。

権利の割り当ての詳細については、『Novell eDirectory 8.8管理ガイド』の「eDirectoryでの権利」を参照してください。

1.2.7 発行者チャネルと購読者チャネル

Identity Managerドライバには、データを処理するために、発行者チャネルおよび購読者チャネルという2つのチャネルがあります。発行者チャネルは、接続システムからアイデンティティボールトにイベントを送信します。購読者チャネルは、アイデンティティボールトから接続システムにイベントを送信します。各チャネルには、データの処理と変換の方法を定義する独自のポリシーが含まれています。

図 1-5 Designerの発行者チャネルおよび購読者チャネル

図 1-6 iManagerの発行者チャネルおよび購読者チャネル

1.2.8 イベントとコマンド

Identity Managerのイベントとコマンドの違いは重要です。イベントがドライバに送信される場合、そのイベントはコマンドです。イベントがIdentity Managerに送信される場合、そのイベントは通知です。ドライバは、Identity Managerにイベント通知を送信する際に、接続システムで発生した変更をIdentity Managerに通知します。メタディレクトリエンジンは、設定可能なルールに基づいて、アイデンティティボールトに送信する必要があるコマンドを決定します(該当する場合)。

Identity Managerは、ドライバにコマンドを送信する時点において、すでにアイデンティティボールトイベントを入力として受け付けて適切なポリシーを適用し、コマンドが表す接続システム内の変更が必要であると判断しています。

1.2.9 ポリシーとフィルタ

ポリシーとフィルタによって、システム間のデータフローを制御できます。接続システムで使用するために、管理側のアイデンティティボールトのクラス、属性、およびイベントをどのように変換するのかを定義したポリシー内のルールを使用しています。ポリシーとフィルタの詳細については、『Policy Builder and Driver Customization Guide』を参照してください。

1.2.10 関連付け

大部分の識別情報管理製品では、接続システムからディレクトリにオブジェクトをマップするために、接続システムに何らかの識別子を格納する必要があります。Identity Managerでは、接続システムを変更する必要はありません。アイデンティティボールトの各オブジェクトには、アイデンティティボールトブジェクトを接続システム内の一意の識別子にマップする関連付けテーブルが含まれています。このテーブルはリバースインデックス形式なので、接続システムは、アイデンティティボールトの更新時にアイデンティティボールト識別子(識別名など)をドライバに提供する必要がありません。

2つのオブジェクト間の関連付けは、アイデンティティボールト内の別のオブジェクトとまだ関連付けられていないオブジェクトでイベントが発生したときに作成されます。関連付けを作成するためには、定義可能な条件の最低限のセットが各オブジェクトで一致している必要があります。たとえば、4つの属性のうち2つ(フルネーム、電話番号、従業員ID、電子メールアドレス)が90%以上一致する場合にオブジェクトを関連付けるポリシーを作成できます。

2つのオブジェクトが同じかどうかを判断するための条件は、一致ポリシーで定義します。変更されたオブジェクトに対して一致するオブジェクトが見つからない場合は、新しいオブジェクトが作成されます。そのためには、最低限の作成条件すべてに一致していなければなりません。条件は、ポリシーを作成することで定義されます。最後に、新しいオブジェクトをネーミング階層の中のどの位置に作成するかが配置ポリシーによって定義されます。

関連付けは次の2つの方法で作成できます。

形成されたオブジェクト間の関連付けは、その後、管理者がオブジェクトを削除するか、または関連付けを削除するまで有効です。