1.1 Identity Managerの概要
受賞暦をもつNovell® Identity Manager 3は、データの管理方法を大きく変えるデータ共有および同期ソリューションです。このサービスでは中央データストアであるアイデンティティボールトを活用して、アプリケーション、データベース、およびディレクトリ間における情報を同期、変換、および分散します。
あるシステムのデータが変更されると、Identity Managerに組み込まれたメタディレクトリエンジンはそれらの変更を検出し、定義した業務ルールに基づいて他の接続されているシステムに伝えます。このソリューションを使用すると、特定のデータに信頼されるデータソースを適用できます(たとえば、HRアプリケーションがユーザのIDを所有する一方で、メッセージングシステムはユーザの電子メールアカウント情報を所有できます)。
Identity Managerを使用すると、接続されているシステム(SAP*、PeopleSoft*、Lotus Notes*、Microsoft* Exchange、Active Directory*など)で次のことが可能になります。
- アイデンティティボールトとデータを共有できます。
- 接続されたシステムでデータが変更されたときに、アイデンティティボールトとの共有データを同期および変換できます。
- アイデンティティボールトでデータが変更されたときに、接続システムとの共有データを同期および変換できます。
Identity Managerでこれを実行するには、双方向フレームワークを構築して、管理者がアイデンティティボールトからアプリケーションへのデータフローと、アプリケーションからアイデンティティボールトへのデータフローを指定できるようにします。このフレームワークでは、XMLを使用することにより、アイデンティティボールトのデータとイベントを指定されたアプリケーション固有の形式に変換するデータおよびイベント変換が可能になります。さらに、アプリケーション固有の形式は、アイデンティティボールトが認識可能な形式に変換されます。アプリケーションとのすべてのやり取りは、アプリケーションのネイティブAPIを使用して行われます。
Identity Managerを使用すると、関連する接続されたシステムに固有のレコードおよびフィールドに対応する属性とクラスだけを選択できます。たとえば、ディレクトリデータストアでは、人事データストアが含まれるユーザタイプオブジェクトを共有し、サーバ、プリンタ、およびボリュームなどのネットワークリソースオブジェクトは共有しないようにすることができます。同様に、人事データストアでは、ユーザの姓、名、イニシャル、電話番号、および勤務地を共有し、ユーザの家族情報と職歴を共有しないようにできます。
アイデンティティボールトに、他のアプリケーションと共有するデータのクラスや属性がない場合、eDirectoryスキーマを拡張してそれらを含めることができます。この場合、アイデンティティボールトは情報のリポジトリとなります。ここでは必要なくても、他のアプリケーションで使用できます。アプリケーション固有のデータストアには、そのアプリケーションだけが必要とする情報のリポジトリが保持されます。
Identity Managerは、次のタスクを実行します。
- イベントを使用して、アイデンティティボールトの変更をキャプチャします。
- すべてのデータをまとめて引き出すハブとして機能することにより、データ管理を集中化または分散します。
- ディレクトリデータをXML形式で公開し、XMLアプリケーションまたはIdentity Managerによって統合されたアプリケーションで使用および共有できるようにします。
- システムで定義されたデータ要素を制御する特定のフィルタを使用して、データフローを制御します。
- セキュリティ許可およびフィルタを使用して、信頼されるデータソースを適用します。
- XML形式のデータストアデータにルールを適用します。これらのルールは、Identity Managerを介して変更がフローするときに、データの解釈と変換を制御します。
- データをXMLから実質的に任意のデータ形式に変換します。これにより、Identity Managerは任意のアプリケーションとデータを共有できます。
- アイデンティティボールトブジェクトと、他のすべての統合システム内にあるオブジェクト間の関連付けを慎重に保持して、データ変更がすべての接続システム間で適切に反映されるようにします。
Identity Managerを使用すると、ビジネスにおけるHRリソースの簡素化、データ管理コストの削減、細かくカスタマイズされたサービスによる顧客関係の構築が可能になり、成功の阻害要因となる相互運用性の障壁を取り除くことができます。Identity Managerにより可能になるアクティビティの例を次に示します。
表 1-1 Identity Managerのアクティビティ
ユーザアカウントの管理 |
単一の操作で次のことが可能になります。
多くの場合、Identity Managerでは、リソースに対する従業員のアクセス権は直ちに付与または削除されます。
Identify Managerには、新しい従業員にネットワーク、電子メール、アプリケーション、リソースなどに対するアクセス権を自動的に付与する従業員プロビジョニング機能があります。
Identity Managerでは、解雇や退職時にアクセス権を制限または無効化することもできます。 |
資産インベントリの追跡と統合 |
Identity Managerでは、すべての資産インベントリ項目(コンピュータ、モニタ、電話、図書リソース、椅子、机など)のプロファイルをアイデンティティボールトに追加し、それらを個人、部門、または組織などのユーザプロファイルと統合できます。 |
個人/職業別電話帳ディレクトリの自動化 |
Identity Managerでは、内部使用および外部使用目的で、さまざまなレベルの情報をもつ統一ディレクトリを作成できます。外部ディレクトリには、電子メールアドレスだけを登録し、内部ディレクトリには住所、電話番号、Fax番号、携帯電話番号、自宅の住所などを含めることができます。 |
ユーザプロファイルの強化 |
Identity Managerでは、電子メールアドレス、電話番号、自宅の住所、初期設定、レポーティング関係、ハードウェア資産、電話、キー、インベントリなどの情報を追加または同期することにより、ユーザプロファイルが増加します。 |
通信アクセスの統一 |
Identity Managerでは、各個人ユーザまたはグループのディレクトリを共通管理インタフェースと同期することにより、それらの個人ユーザまたはグループのネットワーク、電話、ポケベル、Web アクセス、無線アクセスが簡素化されます。 |
パートナー関係の強化 |
Identity Managerでは、ファイアウォール外のパートナーシステムにプロファイル(従業員、顧客など)を作成して、パートナーが必要に応じてすぐにサービスを提供できるようにすることにより、関係が強化されます。 |
サプライチェーンの向上 |
Identity Managerは、各顧客の複数のアカウントにあるインスタンスを認識および統一することにより、顧客サービスを向上します。 |
顧客の信頼の確立 |
以前は別々のアプリケーションやエリアに散在していたデータを1箇所で参照することにより顧客のニーズを認識し、それに応じて新しいサービスを提供します。 |
サービスのカスタマイズ |
Identity Managerでは、関係、ステータス、およびサービスレコードなどの同期化された情報を備えたプロファイルをユーザ(従業員、顧客、パートナーなど)に付与します。
これらのプロファイルを使用すると、サービスおよび情報に対するさまざまなレベルのアクセス権を付与し、顧客の状態に応じてカスタマイズされたサービスをリアルタイムに提供できます。 |