4.3 エンティティおよび属性の操作
Identity Managerユーザアプリケーションでユーザが検索、表示、編集できるようにするアイデンティティボールトブジェクトはすべて、ディレクトリ抽出化レイヤのエンティティとして定義する必要があります。たとえば、ユーザアプリケーションでinetOrgPersonアイデンティティボールトブジェクトを使用するには、そのためのエンティティ定義を作成する必要があります。
4.3.1 エンティティを追加する手順
次の手順に従って、ディレクトリ抽出化レイヤにエンティティを追加します。
4.3.2 データに必要な内容の分析
ディレクトリ抽出化レイヤでアイデンティティボールトデータをモデル化する場合、次の点を確認する必要があります。
- Identity Managerユーザアプリケーションで使用可能にするディレクトリの各種パーツ
たとえば、ユーザが検索したり表示したりできるオブジェクトのリストの場合、このリストを抽出化レイヤ定義の基本セットと比較し、何を追加する必要があるか判断します。
- カスタム拡張や補助クラスを含むスキーマの構造
- 次を含むデータの構造:
- 必須データとオプションデータ
- 検証ルール
- オブジェクト間の関係(DN参照)
- 属性の定義方法(たとえば、電話番号を表す属性には自宅、オフィス、および携帯電話の電話番号など複数の値が含まれることがあります)
- データを表示できるユーザ
サイトはパブリックかプライベートか
これらの情報が揃ったら、この情報を使用してアイデンティティボールトブジェクトを抽出化レイヤエンティティにマップします。
メモ:eDirectory ACLはすべての抽出化レイヤオブジェクトに適用されます。オブジェクトおよび属性に対する有効な権利は、アプリケーションのログイン時に確立された認証ユーザに基づきます。
4.3.3 エンティティの定義
ユーザアプリケーションで公開する内容に応じて、次の2種類のエンティティを定義できます。
- スキーマからマップされるエンティティ。これらのエンティティは、アイデンティティボールトに存在し、ユーザアプリケーションを通して直接ユーザに公開されるオブジェクトを表します。この種類のエンティティを定義する場合、ユーザに利用してもらうすべての属性を公開します。このエンティティタイプの例としては、「ユーザ」、「グループ」、および「タスクグループ」があります。異なる種類のユーザに異なる属性のセットを公開する場合は、同じオブジェクトに対し複数のエンティティ定義を作成することもできます。詳細については、1つのオブジェクトへの複数のエンティティ定義の作成を参照してください。
- LDAP関係を表すエンティティ。この種類のエンティティはDNLookupと呼ばれ、次の目的でユーザアプリケーションに使用されます。
- 関連するエンティティ間でのDN検索の結果をリストに入力する
- 更新や削除が行われた場合、複数のDN参照属性間の参照整合性を維持する
DNLookupをサポートするエンティティは、関係を判断するために組織図ポートレットによって使用されます。また、検索ポートレット、作成ポートレット、および詳細ポートレットによっても、ポップアップ選択リストやDNコンテキストを表示する目的で使用されます。この種類のエンティティには、「マネージャのルックアップ」、「タスクマネージャのルックアップ」、「ユーザのルックアップ」などがあります。詳細については、DNLookup制御タイプの使用を参照してください。
1つのオブジェクトへの複数のエンティティ定義の作成
同じアイデンティティボールトブジェクトを表しながら異なる方法でデータを表示する、複数のエンティティ定義を作成できます。エンティティ定義内で、次のことを行うことができます。
- エンティティ定義ごとに異なる属性を定義する
または
- 同じ属性を定義するが、異なるアクセスプロパティ(属性の検索、表示、編集、および非表示の方法を制御)を指定する
メモ:エンティティ定義にフィルタを含め、結果セットで特定のエンティティを非表示にする方法もあります。
これで、ユーザインタフェースの異なる部分に異なるエンティティ定義を使用できるようになります。たとえば、1つは公開サイト用、もう1つは社内サイト用に従業員のディレクトリを作成する場合を考えてみましょう。公開サイトでは従業員の姓名、および電話番号を記載し、社内サイトでは役職、マネージャなど追加の情報も含めることにします。その方法を次に示します。
-
2つのエンティティ定義を作成します(異なるキーを使用します)。
どちらのエンティティ定義も同じアイデンティティボールトブジェクトを公開しますが、1つのエンティティ定義キーは公開従業員情報、別のエンティティ定義キーは社内従業員情報です。
-
各エンティティ定義で、異なるセットの属性を定義します。1つは公開従業員情報、もう1つは社内従業員情報です。
-
Identity Managerユーザアプリケーションの[ポータルの管理]タブで、公開ページ用と社内ページ用のポートレットインスタンスをそれぞれ作成します。
ポートレットインスタンスの作成の詳細については、セクション 9.0, ポートレットの管理を参照してください。
エンティティ定義を作成する手順
公開するエンティティおよび属性を決めたら、エディタを使用してディレクトリ抽出化レイヤに追加できます。次のような一連の手順を実行します。
使用可能なスキーマ要素のリストの更新
使用可能なスキーマ要素のリストを更新するには:
-
Identity Managerプロジェクトが開いた状態でアイデンティティボールトを選択し、右クリックしてから[Live Operations (ライブ操作)]>[Import Schema (スキーマのインポート)]の順にクリックします。
-
[Import from eDirectory (eDirectoryからのインポート)]を選択し、eDirectoryホストの仕様を入力します。
-
[次へ]をクリックします。
-
インポートするクラスおよび属性を選択し、[完了]をクリックします。
エンティティの追加
エンティティを追加する場合は、エンティティの追加ウィザードを使用するか(次の節で説明)、エディタのツールバーで[Add Entity (エンティティの追加)]ボタンをクリックします。
メモ:[Add Entity (エンティティの追加)]ボタンを使用するときは、作成するエンティティのオブジェクトクラスを選択するよう促すメッセージが表示されます。必要な属性はエディタによって自動的にエンティティに追加されます。続いて[属性の追加]ダイアログボックスを使用してエンティティ定義を完了できます。
エンティティの追加ウィザードを使用してエンティティを追加するには:
-
次のいずれかの方法でエンティティの追加ウィザードを起動します。
プロビジョニングビューから起動する場合
- [Entities (エンティティ)]ノードを選択し、右クリックしてから[New (新規)]をクリックします。
- [File (ファイル)]>[New (新規)]>[Provisioning (プロビジョニング)]の順にクリックします。[Directory Abstraction Layer Entity (ディレクトリ抽象化レイヤエンティティ)]をクリックします。[Next (次へ)]をクリックします。
ディレクトリ抽出化レイヤエディタから起動する場合
- [Entities (エンティティ)]ノードを選択し、右クリックしてから[New Entity-Attributes Wizard (新規エンティティ属性ウィザード)]をクリックします。
[New Entity (新規エンティティ)]ダイアログボックスが表示されます。
メモ:[ファイル]メニューから起動した場合、他の方法で起動した場合には表示されないフィールドがダイアログボックスに表示されます。次に示します。
-
各フィールドに、次のとおり値を指定します。
-
[Next (次へ)]をクリックします。[New Entity (新規エンティティ)]ダイアログボックスが表示されます。
-
作成するエンティティのオブジェクトクラスを選択し、[Available Attributes (使用可能な属性)]リストから使用する属性を選択します。
ヒント:作成するエンティティのオブジェクトクラスが[Available Object Classes (使用可能なオブジェクトクラス)]のリストにないときは、Designerのローカルスキーマファイルの更新が必要な場合があります。使用可能なスキーマ要素のリストを更新するには:の手順に従ってください。
-
[Finish (完了)]をクリックします。
編集用のプロパティシートが表示されます。
詳細については、エンティティのプロパティの参照を参照してください。
メモ:ユーザアプリケーションで属性を使用可能にするには、属性を含むエンティティを展開する必要があります。
属性の追加
属性を追加するには:
-
エンティティを選択します。
-
次のいずれかの方法で属性を追加します。
- 右クリックしてから[Add Attribute (属性の追加)]をクリックする。
または
- [Add Attribute (属性の追加)]アイコンをクリックする。
次の選択画面が表示されます。
-
[Available Attributes for Entity Class (エンティティクラスの使用可能な属性)]リストから属性を選択し、[Selected Attributes for Entity (エンティティの選択された属性)]リストに追加します。
ヒント:作成する属性が[Available Attributes for Entity Class (エンティティクラスの使用可能な属性)]リストにないときは、Designerのローカルスキーマファイルの更新が必要な場合があります。使用可能なスキーマ要素のリストを更新するには:の手順に従ってください。
-
[OK]をクリックします。
編集用のプロパティシートが表示されます。
詳細については、属性のプロパティの参照を参照してください。
メモ:ユーザアプリケーションで属性を使用可能にするには、展開が必要です。
エンティティのプロパティの参照
エンティティには次の種類のプロパティを設定できます。
エンティティのアクセスプロパティ
アクセスプロパティは、ユーザアプリケーションがエンティティと対話する方法を制御します。次のプロパティがあります。
エンティティの必須プロパティ
エンティティの必須プロパティは次のとおりです。
エンティティの検索プロパティ
エンティティの検索プロパティは次のとおりです。
|
プロパティ名 |
説明 |
|---|---|
|
検索コンテナ |
検索が開始されるLDAPノードまたはコンテナの識別名(検索ルート)。次に例を示します。 ou=sample,o=ourOrg アイデンティティボールトを参照してコンテナを選択できます。または、事前定義パラメータの使用で説明されている事前定義パラメータの1つを使用できます。 |
|
検索スコープ |
検索ルートから検索対象になる範囲を指定します。 次の値があります。 <デフォルト>—この検索スコープは、[コンテナとサブコンテナ]を選択した場合と同じです。 コンテナ—検索ルートのDNと検索ルートレベルのすべてのエントリを検索対象とします。 コンテナとサブコンテナ—検索ルートのDNとすべてのサブコンテナが検索されます。これは<Default>を選択した場合と同じです。 オブジェクト—指定したオブジェクトに検索スコープを限定します。この検索は、指定したオブジェクトが存在するかどうか確認するために使用されます。 |
|
検索制限時間(ミリ秒) |
値をミリ秒単位で指定します。制限時間を指定しない場合は0を指定します。 |
|
最大検索数 |
検索で返される検索結果エントリの最大数を指定します。 ランタイム設定を使用する場合は0を指定します。 推奨値: 100~200の範囲が最も効率的です。 1000より高い値は設定しないでください。 |
エンティティの作成と編集のプロパティ
エンティティの作成と編集のプロパティは次のとおりです。
|
プロパティ名 |
定義 |
|---|---|
|
コンテナの作成 |
このタイプの新しいエンティティが作成されるコンテナの名前。 アイデンティティボールトを参照してコンテナを選択できます。または、事前定義パラメータの使用で説明されている事前定義パラメータの1つを使用できます。 この値が指定されていない場合は、新しいオブジェクトのコンテナを指定するよう促すメッセージが作成ポートレットによって表示されます。ポートレットではエンティティ定義で指定した検索ルートがベースとして使用され、ユーザは検索ルートからドリルダウンできます。エンティティ定義で検索ルートが指定されていない場合は、ユーザアプリケーションのインストール時に指定したルートDNが使用されます。 |
|
名前付け属性 |
エンティティの名前付け属性(RDN:Relative Distinguished Name (相対識別名))です。エンティティでアクセスパラメータの「作成」が選択されている場合だけ、この値が必要です。 |
|
代替編集エンティティ |
編集エンティティの属性は、詳細ポートレットの編集モードで表示されます。 ドロップダウンリストからエンティティを選択します。選択しようとしているエンティティが詳細ポートレットに表示されない場合は[<なし>]を選択します。 |
パスワード管理プロパティ
パスワード管理プロパティは次のとおりです。
事前定義パラメータの使用
ディレクトリ抽出化レイヤエディタでは、特定の値に対して事前定義パラメータを使用できます。使用できるパラメータは次のとおりです。
属性のプロパティの参照
属性には次の種類のプロパティを設定できます。
属性のアクセスプロパティ
属性のアクセスプロパティは次のとおりです。
属性のフィルタとフォーマットのプロパティ
属性のUI制御プロパティ
|
名前 |
説明 |
|---|---|
|
データタイプ |
次のリストからデータタイプを選択します。
|
|
フォーマットタイプ |
ユーザアプリケーションでデータをフォーマットするために使用されます。次のフォーマットがあります。
フォーマットタイプはデータタイプに依存しています。たとえば、時間データタイプは、「日付」と「DateTime」のフォーマットにのみ関連付けられます。 |
|
制御タイプ |
制御タイプは次のとおりです。 DNLookup—この属性がDN参照を含むことを定義します。次の場合に使用します。
ユーザアプリケーションはこの情報を使用して特別なユーザインタフェース要素を生成し、DNLookup定義に基づいて最適化された検索を実行します。 詳細については、DNLookup制御タイプの使用を参照してください。 |
|
グローバルリスト—この属性をドロップダウンリストで表示します。リストのコンテンツはこの属性定義以外のファイルで定義されます。 詳細については、セクション 4.4, リストの操作を参照してください。 |
|
|
ローカルリスト—この属性をドロップダウンリストで表示します。リストのコンテンツはこの属性で定義されます。ローカルリストを定義するには、次の手順に従います。
|
|
|
範囲—「範囲」制御タイプ(整数データタイプ)を使用してユーザが入力できる値を連続した一定の範囲内に限定します。範囲の開始値と終了値を指定します。 |
DNLookup制御タイプの使用
制御タイプをDNLookupとして定義した場合、
- この属性をユーザが検索すると、ユーザは可能な値のリストから選択できます。
- この属性が作成、入力、または削除されると、ユーザの操作(作成、削除、更新)に基づいて関連するエンティティの属性が適切に更新され、参照整合性が維持されます。
選択リストのDNLookup
インストールされたユーザアプリケーションには「ユーザ」と「グループ」のエンティティ定義が含まれています。「ユーザ」のエンティティ定義には「グループ」とばれる属性があり、DNLookup制御タイプとして定義されています。これにより、どの識別ポートレットでも、特定ユーザのグループの選択リストを表示できます。たとえば、ユーザがディレクトリ検索を実行するとします。あるグループに属すユーザを検索しようとしたときに、そのグループ名が不明でした。この場合、検索オブジェクトとして「ユーザ」を選択し、検索条件には次のように[グループ]を含めます。
[グループ]は「ユーザ」エンティティのDNLookup制御タイプとして定義されているため、[ルックアップ]アイコンが表示されます。ユーザがこのアイコンを選択すると、グループの候補リストが表示されます。
ユーザはリストからグループを選択できます。
参照整合性のためのDNLookup
LDAPではグループ関係を両方向にマップできるため、更新や同期のためのDNLookupは重要です。たとえば、次のように設定されているデータがあるとします。
- ユーザオブジェクトに次のようなグループ属性のいずれかが含まれる。
- 複数の値。
- ユーザが属すグループのすべてを一覧表示する。
- グループオブジェクトに次のようなユーザ属性のいずれかが含まれる。
- 複数の値。
- ユーザ属性はグループに属すユーザのすべてを一覧表示する。
この場合、ユーザオブジェクトではユーザが属しているすべてのグループを示す属性を持つことができます。また、グループオブジェクトでは、グループ内のすべてのメンバーを含むDN属性を持つことができます。
ユーザが更新を要求した場合、ユーザアプリケーションは関係を遵守し、ターゲット属性とソース属性を同期させる必要があります。DNLookupでは、同期させる必要がある両方の属性を指定します。この手法を使用して、グループ構造のオブジェクトだけではなく、関連性のあるすべてのオブジェクトを同期させることができます。このタイプのDNLookup制御タイプを作成するときは、DNLookupの関係整合性プロパティで説明されているDNLookupの詳細プロパティを指定します。
DNLookupプロパティの参照
DNLookupの表示プロパティは次のとおりです。
DNLookup関係整合性のプロパティ—このプロパティはグループまたはグループメンバーなど、2つのオブジェクト間のデータを同期させるために使用されます。