Identity Manager 3には、次の新機能があります。
Identity Manager 3には、極めて柔軟性に富み、強力なモデリングツールであるDesigner 1.2が含まれています。Designerはスタンドアロンのクライアントアプリケーションです。Designerによって、生産性の高い環境でのIdentity Managerベースのソリューションを設計、展開、文書化することができます。
Designerを使用すると、次の作業を行うことができます。
Designerには、Novell iManagerで使用可能な環境設定機能の大部分に加えて、デザイナ向けの新しい機能と利点があります。Designerでは次のタスクを実行できます。
図 1-1 Designerでの簡単な全体図の作成
図 1-2 開発者モードまたは設計者モードの選択
Designerには、次に示す開発者向けの機能も多数含まれています。
Designerは、次のようなユーザを対象として作成されました。
このツールは、次のようなIT専門家向けです。
必ずしも開発者やプログラマではなくても、このツールを最大限に活用できます。また、開発者が必要に応じて拡張できるようにさまざまな機能も用意されています。識別情報管理ソリューションの構築では、ウィザードを使用してこのツールを簡単に学習し利用できます。高度な知識を持つユーザは、ウィザードを省略して、直接詳細レベルで操作できます。
Designerは、Identityソリューションの主要な概念を伝え、組織内で戦略的な意思決定を行うための、効果的で価値のあるツールとしても利用できます。この場合、視覚的なモデラーと、Designerデータのキャプチャおよび表示を行うドキュメントの両方を使用できます。
iManagerの主な用途は管理です。展開されたソリューションの管理および監視における新機能により、iManagerは常に更新されています。iManagerのWebベース環境には、次の利点があります。
iManagerとDesignerには類似点がありますが、それらの機能とエンドユーザの操作性は、それぞれの対象ユーザおよび環境に合わせて最適化されています。これらには互換性があります。アプリケーション間では、ドライバセットやドライバなどの情報をエクスポートできます。また、いくつかの主要な共通ユーザインタフェース要素が類似しているため、ツール間を効率的に移動できます。
Identity Managerを使用すると、接続されたシステム間でデータを同期できます。エンタイトルメントにより、ユーザまたはグループに対する条件を設定できます。条件が一致すれば、接続されたシステム内のビジネスリソ-スへのアクセス権を付与したり、取り消したりするイベントを開始します。これにより、1レベル上の制御を可能にし、リソ-スの付与および取り消しを自動化できます。
エンタイトルメントの機能には、エンタイトルメントの作成とエンタイトルメントの管理の2つの面があります。エンタイトルメントの作成には、iManagerまたはDesignerを使用します。iManagerを使用してエンタイトルメントを作成するには、iManagerのIdentity Managerユーティリティのヘッダで[エンタイトルメントの作成]オプションを選択します。詳細については、『Novell Identity Manager 3.0管理ガイド』の「エンタイトルメントの作成と使用」を参照してください。
Designerを使用して、エンタイトルメントを作成し、既存のIdentity Managerドライバに展開することもできます。Designerを使用すると、エンタイトルメントを作成するためのグラフィカルインタフェースであるエンタイトルメントウィザードの示すプロセス手順に従って、エンタイトルメントを作成できます。iManagerでは、シンプルなインタフェースを介してエンタイトルメントを作成しますが、XMLエディタを介して追加的なプロパティを追加します。グラフィカルインタフェースが組み込まれているため、エンタイトルメントの作成および編集にはDesignerを使用することをお勧めします。
エンタイトルメントを作成した後(または特定のIdentity Managerドライバで事前設定されたエンタイトルメントを使用して)、それらを管理する必要があります。エンタイトルメントは、次の2つのパッケージまたはエージェントによって管理されます。役割ベースエンタイトルメントポリシーを使用するiManager、またはユーザアプリケーションを使用するワークフローベースのプロビジョニングがこれに該当します。
条件が一致した場合、役割ベースエンタイトルメントポリシーによりビジネスリソ-スを付与できます。たとえば、ユーザが条件1、2、および3を満たしている場合、役割ベースエンタイトルメントポリシーによりユーザはグループHに追加されますが、ユーザが条件4および5を満たしている場合、グループIのメンバーになるとします。このエンタイトルメントがワークフローベースのプロビジョニングを介して機能するには、最初に承認が必要になります。
Designer 1.2で作成されたエンタイトルメントは、Identity Manager 3.0以前のIdentity Managerエンジンでは動作しません。Designerでは、モデラーまたは[Outline]ビューからエンタイトルメントウィザードにアクセスできます。
Novell Identity Managerユーザアプリケーションは、プロビジョニングを行うサポートツールが付属する強力なWebアプリケーションです。ワークフローベースのプロビジョニングとは、ユーザアクセスを管理して、組織内のリソースのセキュリティを保護する処理を意味します。ユーザがリソースを要求すると、適切な権限を持つ1人または複数の個人(受任者や代理を含む)がその要求を承認または拒否できます。さらに、ユーザは要求のステータスを表示できます。
Identity ManagerのプロビジョニングモジュールおよびNovell Auditと組み合わせて使用すると、Identity Managerユーザアプリケーションは安全でスケーラブル、また容易に管理できる総合的なエンドツーエンドのプロビジョニングソリューションになります。
このユーザアプリケーションはWebベースの次のエンドユーザ機能を提供します。
システム管理者に対しては、ユーザアプリケーションは、次のような豊富な設定機能や管理機能を提供します。
ワークフローベースのプロビジョニングのサポートは、Identity Manager 3の主要な機能で、別売の機能です。Identity Manager 2では、ワークフローベースのプロビジョニングはサポートされていません。
Identity Manager 3のNovell資格情報プロビジョニングポリシーは、アプリケーション資格情報をNovell SecretStore®およびNovell SecureLogin資格情報のリポジトリに同時にプロビジョニングする機能を実現することにより、すべてのIdentity Managerドライバのユーザプロビジョニング機能を拡張するために開発されました。加えて、この製品では、否認防止機能が必要な環境でSecureLoginパスフレーズの質問と回答をプロビジョニングできます。これらの製品機能によりユーザのシングルサインオン(SSO)の操作性を向上させ、SSO技術への投資に対する見返りを増やすには、SecureLoginアカウント情報の初期設定をなくし、アプリケーション資格情報のセキュリティを高め、ユーザのSSO資格情報ストアのプロビジョニングに通常関連する作業の反復を減らします。重要な点は、IDMポリシーを使用すると、アプリケーション資格情報を自動的にプロビジョニング解除し、アプリケーションデータへのアクセスを防ぐことができるということです。詳細については、『Policy Builder and Driver Customization Guide』の「Novell Credential Provisioning Policies」を参照してください。