Identity Managerは、アイデンティティボールトと接続システム間におけるデータの同期機能を提供します。接続システムは、アプリケーション、ディレクトリ、データベース、またはファイルで構成されます。
Identity Managerには、いくつかのコンポーネントが含まれています。次の図は、基本コンポーネントとそれらの関係を示します。
図 1-1 Identity Managerのコンポーネント
メタディレクトリエンジンはIdentity Managerアーキテクチャの重要なモジュールです。このエンジンは、Identity Managerドライバがアイデンティティボールト情報と同期する際のインタフェースとして機能し、異なるデータシステムでも接続してデータを共有できるようにします。
メタディレクトリエンジンは、XML形式を使用してアイデンティティボールトデータおよびアイデンティティボールトイベントを処理します。ルールプロセッサとデータ変換エンジンを採用して、2つのシステム間のデータフローを操作します。
アイデンティティボールトは、初期化時に次の処理を実行します。
メタディレクトリエンジンは、eDirectoryインタフェースと同期エンジンの2つのコンポーネントに分けることができます。
メタディレクトリエンジンに組み込まれたeDirectoryインタフェースは、eDirectoryで発生するイベントを検出するために使用されます。このインタフェースは、イベントキャッシュを使用することで、Identity Managerに確実にイベントを送信できるようにしています。eDirectoryインタフェースは複数のドライバをロードできます。つまり、そのeDirectoryサーバ用に実行されているIdentity Managerのインスタンスは1つだけですが、複数の接続システムと通信できます。アイデンティティボールトと接続システムの間でイベントループが発生しないように、このインタフェースにはループバック検出機能が組み込まれています。このインタフェースにはループバック保護機能が含まれていますが、個々の接続システムドライバにループバック検出機能を組み込むことをお勧めします。
同期エンジンは、Identity Managerポリシーを各イベントに適用します。ポリシーは、DirXMLスクリプトを使用してポリシービルダで作成します。ポリシービルダを使用すると、XMLドキュメントまたはXSLTで記述されたスタイルシートを使用する代わりに、GUIインタフェースを使ってポリシーを作成できます。スタイルシートも使用できますが、使いやすさではポリシービルダの方が優れています。ポリシービルダまたはDirXMLスクリプトの詳細については、『Policy Builder and Driver Customization Guide』を参照してください。
同期エンジンは各タイプのポリシーをソースドキュメントに適用します。これらの変換を完了する機能は、Identity Managerの最も強力な機能の1つです。アイデンティティボールトと接続システムとの間で共有されるときに、データはリアルタイムで変換されます。
ドライバ環境設定は、Identity Managerに含まれる事前設定済みのXMLファイルです。これらの環境設定ファイルを、iManagerおよびDesignerのウィザードを使用してインポートできます。
ドライバ環境設定にはサンプルポリシーが含まれます。運用環境での使用を目的としたものではなく、ユーザが変更して使用できるテンプレートとして提供されています。
eDirectoryから生成されるすべてのイベントは、正常に処理されるまでイベントキャッシュに格納されています。これによって、接続不良、システムリソースの損失、ドライバの入手不能、またはその他のネットワーク障害によってデータが失われることを防ぎます。
ドライバシムは、接続システムとアイデンティティボールトとの間における情報の管路として機能します。シムはJava、C、またはC++のいずれかで記述されます。
メタディレクトリエンジンとドライバシムの間の通信は、イベント、クエリ、および結果を記述したXMLドキュメントの形式で行われます。ドライバシムは一般的にはドライバと呼ばれます。これは、アイデンティティボールトと接続システムとの間で情報が転送される管路です。
シムでサポートされているオブジェクトイベントは次のとおりです。
また、Identity Managerが接続システムを照会できるように、シムは定義済みクエリの機能をサポートしている必要があります。
接続システムでアクションを引き起こすイベントがアイデンティティボールトで発生すると、Identity Managerは、そのアイデンティティボールトイベントを記述するXMLドキュメントを作成し、購読者チャネルを介してドライバシムに送信します。
接続システムでイベントが発生すると、接続システムイベントを記述するXMLドキュメントがドライバシムによって生成されます。続いて、ドライバシムが発行者チャネルを使用してそのXMLドキュメントをIdentity Managerに送信します。Identity Managerは、発行者ポリシーを使用してイベントを処理した後、適切なアクションを実行するようアイデンティティボールトに指示します。
ドライバセットは、複数のIdentity Managerドライバを格納するコンテナオブジェクトです。一度に1つのドライバセットを1つのサーバに関連付けることができます。このため、実行中のドライバはすべて同じドライバセットにグループ化する必要があります。
ドライバセットオブジェクトは、そのオブジェクトを使用しているサーバ上にある、完全な読み書き可能レプリカに存在しなければならないため、ドライバセットをパーティションに分割することをお勧めします。ユーザのレプリカが別のサーバに移動された場合に、ドライバオブジェクトも移動されないようにするためです。
次の図は、Designerでドライバセットがどのように表示されるのかを示します。
図 1-2 Designerでのドライバセット
次の図は、iManagerでドライバセットがどのように表示されるのかを示します。
図 1-3 iManagerでのドライバセット
DesignerのModeler図 1-2またはiManagerの概要ページ図 1-3から、次の処理を実行できます。
ドライバオブジェクトは、アイデンティティボールトと統合されている接続システムに接続されているドライバを表します。ドライバオブジェクトとその環境設定パラメータは、次のコンポーネントで構成されています。
iManagerでは、[Identity Managerドライバの概要]にアクセスして、既存のドライバのパラメータ、ポリシー、スタイルシート、およびエンタイトルメントを変更できます。Identity Managerドライバの概要を次に示します。
図 1-4 Identity Managerドライバの概要
ドライバオブジェクトは、eDirectoryの権利の確認にも使用されます。ドライバオブジェクトには、読み込みまたは書き込みを行うオブジェクトに対して、必要なeDirectory権利を付与する必要があります。そのためには、ドライバオブジェクトを、ドライバの同期先eDirectoryオブジェクトのトラスティにするか、ドライバオブジェクトに同等セキュリティを付与します。
権利の割り当ての詳細については、『Novell eDirectory 8.8管理ガイド』の「eDirectoryでの権利」を参照してください。
Identity Managerドライバには、データを処理するために、発行者チャネルおよび購読者チャネルという2つのチャネルがあります。発行者チャネルは、接続システムからアイデンティティボールトにイベントを送信します。購読者チャネルは、アイデンティティボールトから接続システムにイベントを送信します。各チャネルには、データの処理と変換の方法を定義する独自のポリシーが含まれています。
図 1-5 Designerの発行者チャネルおよび購読者チャネル
図 1-6 iManagerの発行者チャネルおよび購読者チャネル
Identity Managerのイベントとコマンドの違いは重要です。イベントがドライバに送信される場合、そのイベントはコマンドです。イベントがIdentity Managerに送信される場合、そのイベントは通知です。ドライバは、Identity Managerにイベント通知を送信する際に、接続システムで発生した変更をIdentity Managerに通知します。メタディレクトリエンジンは、設定可能なルールに基づいて、アイデンティティボールトに送信する必要があるコマンドを決定します(該当する場合)。
Identity Managerは、ドライバにコマンドを送信する時点において、すでにアイデンティティボールトイベントを入力として受け付けて適切なポリシーを適用し、コマンドが表す接続システム内の変更が必要であると判断しています。
ポリシーとフィルタによって、システム間のデータフローを制御できます。接続システムで使用するために、管理側のアイデンティティボールトのクラス、属性、およびイベントをどのように変換するのかを定義したポリシー内のルールを使用しています。ポリシーとフィルタの詳細については、『Policy Builder and Driver Customization Guide』を参照してください。
大部分の識別情報管理製品では、接続システムからディレクトリにオブジェクトをマップするために、接続システムに何らかの識別子を格納する必要があります。Identity Managerでは、接続システムを変更する必要はありません。アイデンティティボールトの各オブジェクトには、アイデンティティボールトブジェクトを接続システム内の一意の識別子にマップする関連付けテーブルが含まれています。このテーブルはリバースインデックス形式なので、接続システムは、アイデンティティボールトの更新時にアイデンティティボールト識別子(識別名など)をドライバに提供する必要がありません。
2つのオブジェクト間の関連付けは、アイデンティティボールト内の別のオブジェクトとまだ関連付けられていないオブジェクトでイベントが発生したときに作成されます。関連付けを作成するためには、定義可能な条件の最低限のセットが各オブジェクトで一致している必要があります。たとえば、4つの属性のうち2つ(フルネーム、電話番号、従業員ID、電子メールアドレス)が90%以上一致する場合にオブジェクトを関連付けるポリシーを作成できます。
2つのオブジェクトが同じかどうかを判断するための条件は、一致ポリシーで定義します。変更されたオブジェクトに対して一致するオブジェクトが見つからない場合は、新しいオブジェクトが作成されます。そのためには、最低限の作成条件すべてに一致していなければなりません。条件は、ポリシーを作成することで定義されます。最後に、新しいオブジェクトをネーミング階層の中のどの位置に作成するかが配置ポリシーによって定義されます。
関連付けは次の2つの方法で作成できます。
形成されたオブジェクト間の関連付けは、その後、管理者がオブジェクトを削除するか、または関連付けを削除するまで有効です。
Identity Managerでは、関連付けとはeDirectory内のオブジェクトを、接続システムに存在するオブジェクトと一致させることを指します。Identity Managerを初回にインストールしたときに、eDirectoryスキーマが拡張されます。この拡張には、すべてのeDirectoryオブジェクトのベースクラスに結び付けられた新しい属性が含まれます。新しい属性が、関連付けテーブルです。関連付けテーブルは、eDirectoryオブジェクトをリンク先とするすべての接続システムオブジェクトを追跡します。このテーブルは自動的に作成および保守されるため、情報を手動で編集する必要はほとんどありません。ただし、表示して内容を確認したいことはよくあります。
オブジェクト上の関連付け属性はiManagerで表示できます。
iManagerで、ツールバーの[オブジェクトの表示]アイコンを選択します。
ブラウズしてオブジェクトを選択し、[オブジェクトの変更]を選択します。
[Identity Manager]タブを選択します。
[Identity Manager]タブに関連付け属性が表示されます。