Identity Managerユーザアプリケーションでユーザが検索、表示、編集できるようにするアイデンティティボールトブジェクトはすべて、ディレクトリ抽出化レイヤのエンティティとして定義する必要があります。たとえば、ユーザアプリケーションでinetOrgPersonアイデンティティボールトブジェクトを使用するには、そのためのエンティティ定義を作成する必要があります。
次の手順に従って、ディレクトリ抽出化レイヤにエンティティを追加します。
ディレクトリ抽出化レイヤでアイデンティティボールトデータをモデル化する場合、次の点を確認する必要があります。
たとえば、ユーザが検索したり表示したりできるオブジェクトのリストの場合、このリストを抽出化レイヤ定義の基本セットと比較し、何を追加する必要があるか判断します。
サイトはパブリックかプライベートか
これらの情報が揃ったら、この情報を使用してアイデンティティボールトブジェクトを抽出化レイヤエンティティにマップします。
メモ:eDirectory ACLはすべての抽出化レイヤオブジェクトに適用されます。オブジェクトおよび属性に対する有効な権利は、アプリケーションのログイン時に確立された認証ユーザに基づきます。
ユーザアプリケーションで公開する内容に応じて、次の2種類のエンティティを定義できます。
DNLookupをサポートするエンティティは、関係を判断するために組織図ポートレットによって使用されます。また、検索ポートレット、作成ポートレット、および詳細ポートレットによっても、ポップアップ選択リストやDNコンテキストを表示する目的で使用されます。この種類のエンティティには、「マネージャのルックアップ」、「タスクマネージャのルックアップ」、「ユーザのルックアップ」などがあります。詳細については、DNLookup制御タイプの使用を参照してください。
同じアイデンティティボールトブジェクトを表しながら異なる方法でデータを表示する、複数のエンティティ定義を作成できます。エンティティ定義内で、次のことを行うことができます。
または
メモ:エンティティ定義にフィルタを含め、結果セットで特定のエンティティを非表示にする方法もあります。
これで、ユーザインタフェースの異なる部分に異なるエンティティ定義を使用できるようになります。たとえば、1つは公開サイト用、もう1つは社内サイト用に従業員のディレクトリを作成する場合を考えてみましょう。公開サイトでは従業員の姓名、および電話番号を記載し、社内サイトでは役職、マネージャなど追加の情報も含めることにします。その方法を次に示します。
2つのエンティティ定義を作成します(異なるキーを使用します)。
どちらのエンティティ定義も同じアイデンティティボールトブジェクトを公開しますが、1つのエンティティ定義キーは公開従業員情報、別のエンティティ定義キーは社内従業員情報です。
各エンティティ定義で、異なるセットの属性を定義します。1つは公開従業員情報、もう1つは社内従業員情報です。
Identity Managerユーザアプリケーションの[ポータルの管理]タブで、公開ページ用と社内ページ用のポートレットインスタンスをそれぞれ作成します。
ポートレットインスタンスの作成の詳細については、セクション 9.0, ポートレットの管理を参照してください。
公開するエンティティおよび属性を決めたら、エディタを使用してディレクトリ抽出化レイヤに追加できます。次のような一連の手順を実行します。
Identity Managerプロジェクトが開いた状態でアイデンティティボールトを選択し、右クリックしてから[Live Operations (ライブ操作)]>[Import Schema (スキーマのインポート)]の順にクリックします。
[Import from eDirectory (eDirectoryからのインポート)]を選択し、eDirectoryホストの仕様を入力します。
[次へ]をクリックします。
インポートするクラスおよび属性を選択し、[完了]をクリックします。
エンティティを追加する場合は、エンティティの追加ウィザードを使用するか(次の節で説明)、エディタのツールバーで[Add Entity (エンティティの追加)]ボタンをクリックします。
メモ:[Add Entity (エンティティの追加)]ボタンを使用するときは、作成するエンティティのオブジェクトクラスを選択するよう促すメッセージが表示されます。必要な属性はエディタによって自動的にエンティティに追加されます。続いて[属性の追加]ダイアログボックスを使用してエンティティ定義を完了できます。
次のいずれかの方法でエンティティの追加ウィザードを起動します。
プロビジョニングビューから起動する場合
ディレクトリ抽出化レイヤエディタから起動する場合
[New Entity (新規エンティティ)]ダイアログボックスが表示されます。
メモ:[ファイル]メニューから起動した場合、他の方法で起動した場合には表示されないフィールドがダイアログボックスに表示されます。次に示します。
各フィールドに、次のとおり値を指定します。
[Next (次へ)]をクリックします。[New Entity (新規エンティティ)]ダイアログボックスが表示されます。
作成するエンティティのオブジェクトクラスを選択し、[Available Attributes (使用可能な属性)]リストから使用する属性を選択します。
ヒント:作成するエンティティのオブジェクトクラスが[Available Object Classes (使用可能なオブジェクトクラス)]のリストにないときは、Designerのローカルスキーマファイルの更新が必要な場合があります。使用可能なスキーマ要素のリストを更新するには:の手順に従ってください。
[Finish (完了)]をクリックします。
編集用のプロパティシートが表示されます。
詳細については、エンティティのプロパティの参照を参照してください。
メモ:ユーザアプリケーションで属性を使用可能にするには、属性を含むエンティティを展開する必要があります。
エンティティを選択します。
次のいずれかの方法で属性を追加します。
または
次の選択画面が表示されます。
[Available Attributes for Entity Class (エンティティクラスの使用可能な属性)]リストから属性を選択し、[Selected Attributes for Entity (エンティティの選択された属性)]リストに追加します。
ヒント:作成する属性が[Available Attributes for Entity Class (エンティティクラスの使用可能な属性)]リストにないときは、Designerのローカルスキーマファイルの更新が必要な場合があります。使用可能なスキーマ要素のリストを更新するには:の手順に従ってください。
[OK]をクリックします。
編集用のプロパティシートが表示されます。
詳細については、属性のプロパティの参照を参照してください。
メモ:ユーザアプリケーションで属性を使用可能にするには、展開が必要です。
エンティティには次の種類のプロパティを設定できます。
アクセスプロパティは、ユーザアプリケーションがエンティティと対話する方法を制御します。次のプロパティがあります。
エンティティの必須プロパティは次のとおりです。
エンティティの検索プロパティは次のとおりです。
プロパティ名 |
説明 |
---|---|
検索コンテナ |
検索が開始されるLDAPノードまたはコンテナの識別名(検索ルート)。次に例を示します。 ou=sample,o=ourOrg アイデンティティボールトを参照してコンテナを選択できます。または、事前定義パラメータの使用で説明されている事前定義パラメータの1つを使用できます。 |
検索スコープ |
検索ルートから検索対象になる範囲を指定します。 次の値があります。 <デフォルト>—この検索スコープは、[コンテナとサブコンテナ]を選択した場合と同じです。 コンテナ—検索ルートのDNと検索ルートレベルのすべてのエントリを検索対象とします。 コンテナとサブコンテナ—検索ルートのDNとすべてのサブコンテナが検索されます。これは<Default>を選択した場合と同じです。 オブジェクト—指定したオブジェクトに検索スコープを限定します。この検索は、指定したオブジェクトが存在するかどうか確認するために使用されます。 |
検索制限時間(ミリ秒) |
値をミリ秒単位で指定します。制限時間を指定しない場合は0を指定します。 |
最大検索数 |
検索で返される検索結果エントリの最大数を指定します。 ランタイム設定を使用する場合は0を指定します。 推奨値: 100~200の範囲が最も効率的です。 1000より高い値は設定しないでください。 |
エンティティの作成と編集のプロパティは次のとおりです。
プロパティ名 |
定義 |
---|---|
コンテナの作成 |
このタイプの新しいエンティティが作成されるコンテナの名前。 アイデンティティボールトを参照してコンテナを選択できます。または、事前定義パラメータの使用で説明されている事前定義パラメータの1つを使用できます。 この値が指定されていない場合は、新しいオブジェクトのコンテナを指定するよう促すメッセージが作成ポートレットによって表示されます。ポートレットではエンティティ定義で指定した検索ルートがベースとして使用され、ユーザは検索ルートからドリルダウンできます。エンティティ定義で検索ルートが指定されていない場合は、ユーザアプリケーションのインストール時に指定したルートDNが使用されます。 |
名前付け属性 |
エンティティの名前付け属性(RDN:Relative Distinguished Name (相対識別名))です。エンティティでアクセスパラメータの「作成」が選択されている場合だけ、この値が必要です。 |
代替編集エンティティ |
編集エンティティの属性は、詳細ポートレットの編集モードで表示されます。 ドロップダウンリストからエンティティを選択します。選択しようとしているエンティティが詳細ポートレットに表示されない場合は[<なし>]を選択します。 |
パスワード管理プロパティは次のとおりです。
ディレクトリ抽出化レイヤエディタでは、特定の値に対して事前定義パラメータを使用できます。使用できるパラメータは次のとおりです。
属性には次の種類のプロパティを設定できます。
属性のアクセスプロパティは次のとおりです。
名前 |
説明 |
---|---|
データタイプ |
次のリストからデータタイプを選択します。
|
フォーマットタイプ |
ユーザアプリケーションでデータをフォーマットするために使用されます。次のフォーマットがあります。
フォーマットタイプはデータタイプに依存しています。たとえば、時間データタイプは、「日付」と「DateTime」のフォーマットにのみ関連付けられます。 |
制御タイプ |
制御タイプは次のとおりです。 DNLookup—この属性がDN参照を含むことを定義します。次の場合に使用します。
ユーザアプリケーションはこの情報を使用して特別なユーザインタフェース要素を生成し、DNLookup定義に基づいて最適化された検索を実行します。 詳細については、DNLookup制御タイプの使用を参照してください。 |
グローバルリスト—この属性をドロップダウンリストで表示します。リストのコンテンツはこの属性定義以外のファイルで定義されます。 詳細については、セクション 4.4, リストの操作を参照してください。 |
|
ローカルリスト—この属性をドロップダウンリストで表示します。リストのコンテンツはこの属性で定義されます。ローカルリストを定義するには、次の手順に従います。
|
|
範囲—「範囲」制御タイプ(整数データタイプ)を使用してユーザが入力できる値を連続した一定の範囲内に限定します。範囲の開始値と終了値を指定します。 |
制御タイプをDNLookupとして定義した場合、
インストールされたユーザアプリケーションには「ユーザ」と「グループ」のエンティティ定義が含まれています。「ユーザ」のエンティティ定義には「グループ」とばれる属性があり、DNLookup制御タイプとして定義されています。これにより、どの識別ポートレットでも、特定ユーザのグループの選択リストを表示できます。たとえば、ユーザがディレクトリ検索を実行するとします。あるグループに属すユーザを検索しようとしたときに、そのグループ名が不明でした。この場合、検索オブジェクトとして「ユーザ」を選択し、検索条件には次のように[グループ]を含めます。
[グループ]は「ユーザ」エンティティのDNLookup制御タイプとして定義されているため、[ルックアップ]アイコンが表示されます。ユーザがこのアイコンを選択すると、グループの候補リストが表示されます。
ユーザはリストからグループを選択できます。
LDAPではグループ関係を両方向にマップできるため、更新や同期のためのDNLookupは重要です。たとえば、次のように設定されているデータがあるとします。
この場合、ユーザオブジェクトではユーザが属しているすべてのグループを示す属性を持つことができます。また、グループオブジェクトでは、グループ内のすべてのメンバーを含むDN属性を持つことができます。
ユーザが更新を要求した場合、ユーザアプリケーションは関係を遵守し、ターゲット属性とソース属性を同期させる必要があります。DNLookupでは、同期させる必要がある両方の属性を指定します。この手法を使用して、グループ構造のオブジェクトだけではなく、関連性のあるすべてのオブジェクトを同期させることができます。このタイプのDNLookup制御タイプを作成するときは、DNLookupの関係整合性プロパティで説明されているDNLookupの詳細プロパティを指定します。
DNLookupの表示プロパティは次のとおりです。
DNLookup関係整合性のプロパティ—このプロパティはグループまたはグループメンバーなど、2つのオブジェクト間のデータを同期させるために使用されます。