1.3 Identity Manager 3の新機能

Identity Manager 3には、次の新機能があります。

1.3.1 Identity ManagerのDesigner

Identity Manager 3には、極めて柔軟性に富み、強力なモデリングツールであるDesigner 1.2が含まれています。Designerはスタンドアロンのクライアントアプリケーションです。Designerによって、生産性の高い環境でのIdentity Managerベースのソリューションを設計、展開、文書化することができます。

Designerを使用すると、次の作業を行うことができます。

  • ソリューションをローカルで設計し、テストした後、ネットワークに展開できます。
  • 既存のソリューションをネットワークからDesignerにインポートして、そのソリューションで作業できます。
  • 展開したソリューションと対話し、設定を更新したり、ドライバやシステムの状態を参照したりできます。

Designerには、Novell iManagerで使用可能な環境設定機能の大部分に加えて、デザイナ向けの新しい機能と利点があります。Designerでは次のタスクを実行できます。

  • 強力なモデリングを使用して、すべてのIdentity Managerコンポーネント、エンドシステムおよびアプリケーション、他の視覚的な要素が含まれる、エンタープライズのIdentity管理の全体図を作成できます。全体図は、システムをグループごとに整理し、より小さな関係図に分割できます。また、パンやスキャンなどの画面の編集、およびズームが可能です。これまで不可能だった方法で、アプリケーションサブシステム、eDir-to-eDir、および1つのシステムに接続した複数ドライバをモデル化できます。

    図 1-1 Designerでの簡単な全体図の作成

  • 上位工程では設計者として、または下位工程では開発者として、別々のモードで作業でき、どちらのモードにも簡単に移行できます。

    図 1-2 開発者モードまたは設計者モードの選択

  • エンタープライズ全体のデータフローを視覚的に表示して操作できます。
  • ボタンを押すだけで、すべてのシステムの詳細な表、グラフ、およびグラフィックなどを盛り込んだソリューションをドキュメント化できます。また、ポリシー、スキーマ、Identity Managerコンポーネント、カスタムコンテンツ、およびプロジェクト情報を、目次、付録、ページ番号付きでドキュメント化できます。ドキュメントのコンテンツと形式は、どちらも自由にカスタマイズできます。
  • 組み込みのポリシーシミュレータとIdentity Managerエンジンを使用して、ポリシーをオフラインでテストできます。
  • エンタープライズ全体にわたるプロジェクトを、簡単に作成、コピー、移動、および共有できます。プロジェクトはローカルにあり、ファイルをベースとしているため、ソリューション全体のバックアップとバージョン管理を簡単に行うことができます。
  • プロジェクト全体の即時検索および編集機能を使用できます。
  • ネイティブアプリケーションの外観と操作方法を備えた、生産性の高いリッチクライアント環境で作業できます。
  • 外出中でも、接続していないモバイル環境で作業できます。
  • 強力で視覚的なエディタ、最小限のポップアップ、十分に同期化されたビューを活用したレイアウトで、生産性を最大限に高めます。
  • プロジェクトの開始および設定に役立つウィザードを使用できます。
  • オブジェクトの自動作成、自動値設定、自動接続、自動レイアウトを行うことができます。
  • エディタ間で強力なコピーおよび貼り付け機能を使用でき、ほとんどのエディタおよびビューでは完全に取り消したり、やり直したりすることができます。
  • 多くの環境設定およびオプションを設定して、製品の使用方法に合わせてUIをカスタマイズできます。
  • 画面に対応する詳細なヘルプと、検索可能で強力なヘルプシステムを参照できます。
  • 自動更新インストールにより、更新は自動的に通知され、取得されます。

Designerには、次に示す開発者向けの機能も多数含まれています。

  • 出荷バージョンにない機能を簡単に追加およびモデル化できます。たとえば、独自のアプリケーション、ドライバ、リソース、およびアイコンを追加できます。
  • 別のエディタを使用するようにDesignerを設定できます。すべてのファイルタイプ(たとえば、.xmlおよび.txtなど)で選択したエディタを使用するように設定できます。Eclipseベースのエディタが最適ですが、さまざまな生成物(たとえば、ワープロドキュメントやスプレッドシートなど)を含めることもできます。ネイティブエディタは、プラットフォームでサポートされている場合は自動的にDesignerに統合されます。
  • Javaで開発およびデバッグできます。DesignerプラグインをEclipseの完全インストールにインストールした場合、Java開発およびデバッグ、ANT、C#、UMLモデリングを、Designerと平行してすべて同じツールで行うことができます。これは、Identity Managerドライバプログラマ(JavaまたはC)がツールをすべてまとめようとする場合、特に価値があります。
  • パブリックAPIを使用できます。Novellでは、完全に公開されたパブリックEclipse API (基となるプロジェクトデータモデルであり、その形式はオープンな業界標準と一貫性があります)に加えて、公開されたEclipse拡張ポイントも使用しています。

対象読者

Designerは、次のようなユーザを対象として作成されました。

  • エンタープライズIT開発者
  • コンサルタント
  • 販売担当エンジニア
  • 設計者またはシステムデザイナ
  • システム管理者

このツールは、次のようなIT専門家向けです。

  • ディレクトリ、データベース、およびそれらの情報環境をよく理解しているIT専門家
  • 識別情報ベースのソリューションのデザイナまたは設計者としての役割があるIT専門家

必ずしも開発者やプログラマではなくても、このツールを最大限に活用できます。また、開発者が必要に応じて拡張できるようにさまざまな機能も用意されています。識別情報管理ソリューションの構築では、ウィザードを使用してこのツールを簡単に学習し利用できます。高度な知識を持つユーザは、ウィザードを省略して、直接詳細レベルで操作できます。

Designerは、Identityソリューションの主要な概念を伝え、組織内で戦略的な意思決定を行うための、効果的で価値のあるツールとしても利用できます。この場合、視覚的なモデラーと、Designerデータのキャプチャおよび表示を行うドキュメントの両方を使用できます。

DesignerとiManagerツールの関係

iManagerの主な用途は管理です。展開されたソリューションの管理および監視における新機能により、iManagerは常に更新されています。iManagerのWebベース環境には、次の利点があります。

  • リモートアクセス
  • 中央型管理
  • 役割のサポート
  • Webベースのツールとの統合

iManagerとDesignerには類似点がありますが、それらの機能とエンドユーザの操作性は、それぞれの対象ユーザおよび環境に合わせて最適化されています。これらには互換性があります。アプリケーション間では、ドライバセットやドライバなどの情報をエクスポートできます。また、いくつかの主要な共通ユーザインタフェース要素が類似しているため、ツール間を効率的に移動できます。

1.3.2 ワークフローベースのプロビジョニングのエンタイトルメントと、役割ベースエンタイトルメントの拡張点

Identity Managerを使用すると、接続されたシステム間でデータを同期できます。エンタイトルメントにより、ユーザまたはグループに対する条件を設定できます。条件が一致すれば、接続されたシステム内のビジネスリソ-スへのアクセス権を付与したり、取り消したりするイベントを開始します。これにより、1レベル上の制御を可能にし、リソ-スの付与および取り消しを自動化できます。

エンタイトルメントの機能には、エンタイトルメントの作成とエンタイトルメントの管理の2つの面があります。エンタイトルメントの作成には、iManagerまたはDesignerを使用します。iManagerを使用してエンタイトルメントを作成するには、iManagerのIdentity Managerユーティリティのヘッダで[エンタイトルメントの作成]オプションを選択します。詳細については、『Novell Identity Manager 3.0管理ガイド』の「エンタイトルメントの作成と使用」を参照してください。

Designerを使用して、エンタイトルメントを作成し、既存のIdentity Managerドライバに展開することもできます。Designerを使用すると、エンタイトルメントを作成するためのグラフィカルインタフェースであるエンタイトルメントウィザードの示すプロセス手順に従って、エンタイトルメントを作成できます。iManagerでは、シンプルなインタフェースを介してエンタイトルメントを作成しますが、XMLエディタを介して追加的なプロパティを追加します。グラフィカルインタフェースが組み込まれているため、エンタイトルメントの作成および編集にはDesignerを使用することをお勧めします。

エンタイトルメントを作成した後(または特定のIdentity Managerドライバで事前設定されたエンタイトルメントを使用して)、それらを管理する必要があります。エンタイトルメントは、次の2つのパッケージまたはエージェントによって管理されます。役割ベースエンタイトルメントポリシーを使用するiManager、またはユーザアプリケーションを使用するワークフローベースのプロビジョニングがこれに該当します。

条件が一致した場合、役割ベースエンタイトルメントポリシーによりビジネスリソ-スを付与できます。たとえば、ユーザが条件1、2、および3を満たしている場合、役割ベースエンタイトルメントポリシーによりユーザはグループHに追加されますが、ユーザが条件4および5を満たしている場合、グループIのメンバーになるとします。このエンタイトルメントがワークフローベースのプロビジョニングを介して機能するには、最初に承認が必要になります。

Designer 1.2で作成されたエンタイトルメントは、Identity Manager 3.0以前のIdentity Managerエンジンでは動作しません。Designerでは、モデラーまたは[Outline]ビューからエンタイトルメントウィザードにアクセスできます。

  • [Outline]ビューで、Identity Managerドライバを右クリックします。[エンタイトルメントの追加]を選択します。
  • [Modeler]ビューで、ドライバオブジェクトを右クリックするか、[エンタイトルメント]、[エンタイトルメントの追加]の順に選択します。

1.3.3 Novell Identity Managerユーザアプリケーションおよびワークフローベースのプロビジョニング

Novell Identity Managerユーザアプリケーションは、プロビジョニングを行うサポートツールが付属する強力なWebアプリケーションです。ワークフローベースのプロビジョニングとは、ユーザアクセスを管理して、組織内のリソースのセキュリティを保護する処理を意味します。ユーザがリソースを要求すると、適切な権限を持つ1人または複数の個人(受任者や代理を含む)がその要求を承認または拒否できます。さらに、ユーザは要求のステータスを表示できます。

Identity ManagerのプロビジョニングモジュールおよびNovell Auditと組み合わせて使用すると、Identity Managerユーザアプリケーションは安全でスケーラブル、また容易に管理できる総合的なエンドツーエンドのプロビジョニングソリューションになります。

このユーザアプリケーションはWebベースの次のエンドユーザ機能を提供します。

  • 個人別電話帳
  • 組織チャート
  • ユーザの検索(カスタム検索設定を保存可能)
  • セルフサービスのパスワード管理
  • 簡易なユーザ管理ツール
  • プロビジョニング要求の開始と監視(プロビジョニングモジュールがインストールされている場合)
  • 個人やチームのタスク管理(プロビジョニングモジュールがインストールされている場合)
  • 委任機能および代理機能
  • セルフサービスのユーザプロファイル管理(ユーザはそれぞれの公開プロファイルで選択した情報を編集可能)
  • プロビジョニングタスクの電子メール通知
  • Identityポータルの一部としてユーザのカスタマイズされたイントラネットページを作成する、85を超えるポートレット
  • 自己プロビジョニングのサポートと、承認ベースのプロビジョニングワークフロー

システム管理者に対しては、ユーザアプリケーションは、次のような豊富な設定機能や管理機能を提供します。

  • 代理や委任の権利を設定、管理できるようにするためのiManagerプラグイン
  • ログツールおよびカスタマイズしたCrystal Reportsへのアクセス
  • ウィザードベースのワークフロー設定(プロビジョニングモジュールがインストールされている場合)
  • ワークフローの有効化と無効化、進行中のフローの一時停止を含む、ワークフロー管理(プロビジョニングモジュールがインストールされている場合)
  • カスタムの仮想ディレクトリオブジェクト定義や関係を作成するためのEclipse RCPベースのDesigner

ワークフローベースのプロビジョニングのサポートは、Identity Manager 3の主要な機能で、別売の機能です。Identity Manager 2では、ワークフローベースのプロビジョニングはサポートされていません。

1.3.4 Novell資格情報プロビジョニングポリシー

Identity Manager 3のNovell資格情報プロビジョニングポリシーは、アプリケーション資格情報をNovell SecretStore®およびNovell SecureLogin資格情報のリポジトリに同時にプロビジョニングする機能を実現することにより、すべてのIdentity Managerドライバのユーザプロビジョニング機能を拡張するために開発されました。加えて、この製品では、否認防止機能が必要な環境でSecureLoginパスフレーズの質問と回答をプロビジョニングできます。これらの製品機能によりユーザのシングルサインオン(SSO)の操作性を向上させ、SSO技術への投資に対する見返りを増やすには、SecureLoginアカウント情報の初期設定をなくし、アプリケーション資格情報のセキュリティを高め、ユーザのSSO資格情報ストアのプロビジョニングに通常関連する作業の反復を減らします。重要な点は、IDMポリシーを使用すると、アプリケーション資格情報を自動的にプロビジョニング解除し、アプリケーションデータへのアクセスを防ぐことができるということです。詳細については、『Policy Builder and Driver Customization Guide』の「Novell Credential Provisioning Policies」を参照してください。