次に示すシナリオは、Identity Managerを使用可能な環境の例です。各シナリオでは、実装に役立ついくつかのガイドラインが示されます。
図 2-1 新しいインストール
Identity Managerは、アイデンティティボールトを活用して、アプリケーション、データベース、およびディレクトリ間における情報を自動的に同期、変換、および分散するデータ共有ソリューションです。
Identity Managerソリューションには、次のコンポーネントが含まれています。
アイデンティティボールトには、他の接続システムと共有または同期するユーザデータやオブジェクトデータが含まれています。Identity Managerは、独自のeDirectory™インスタンスにインストールして、専用のアイデンティティボールトとして使用することをお勧めします。
Identity Managerソリューションを管理するには、Novell® iManagerとIdentity Managerプラグインを使用します。
接続システムには、アイデンティティボールトとデータを共有または同期する他のアプリケーション、ディレクトリ、およびデータベースを共存させることができます。アイデンティティボールトから接続システムへの接続を確立するには、その接続システムに適したドライバをインストールします。具体的な手順については、『ドライバ実装ガイド』を参照してください。
システムコンポーネントのインストール: Identity Managerソリューションは複数のコンピュータ、サーバ、またはプラットフォームに分散して使用する可能性があるため、システムごとにインストールプログラムを実行して、適切なコンポーネントをインストールする必要があります。詳細については、セクション 4.2, Identity Managerのコンポーネントとシステム要件を参照してください。
接続システムの設定: 具体的な手順については、セクション 4.2, Identity Managerのコンポーネントとシステム要件および『ドライバ実装ガイド』を参照してください。
ソリューションを有効にする: Identity Manager製品(Professional Edition、Server Edition、統合モジュール、およびユーザアプリケーション)は、インストールから90日以内にアクティベーションを行う必要があります。セクション 6.0, Novell Identity Manager製品を有効にするを参照してください。
ビジネスポリシーの定義: ビジネスポリシーでは、アイデンティティボールトでやり取りする情報のフローを特定の環境に合わせてカスタマイズできます。ポリシーは、その他にも新しいオブジェクトの作成、属性値の更新、スキーマ変換の実行、一致条件の定義、Identity Managerの関連付けの維持など、多くのタスクを実行します。ポリシーについて詳しくは、『Policy Builder and Driver Customization Guide』を参照してください。
パスワードの管理の設定: パスワードポリシーを使用することで、ユーザのパスワード作成方法を規定し、セキュリティを向上できます。ユーザ自身でパスワード忘れや、パスワードリセットに対処できるセルフサービスオプションを付加することにより、ヘルプデスクの運用コストの削減にもつながります。パスワード管理の詳細については、『Password Management Administration Guide』の「Managing Passwords by Using Password Policies」を参照してください。
エンタイトルメントの設定: エンタイトルメントの定義により、接続システムのエンタイトルメントを、アイデンティティボールト内のユーザの定義済みグループに付与できます。エンタイトルメントポリシーを使用すると、ビジネスポリシーの管理を合理化できるため、Identiry Managerドライバを設定する必要性が軽減されます。詳細については、『Novell Identity Manager 3.0管理ガイド』の「エンタイトルメントの作成と使用」を参照してください。
Novell Auditを使用したイベントのログ: Identity Managerは、監査とレポーティングにNovell Auditを使用するように設計されています。Novell Auditには、監査、ログ、レポート、および通知などの機能を実現する技術が集約されています。Identity Managerでは、Novell Auditと統合することで、ドライバとエンジンのアクティビティに関する現在と過去の状態の詳細な情報を供給します。この情報は、設定済みのレポート、標準の通知サービス、およびユーザ定義ログなどの一連の機能により提供されます。『Novell Identity Manager 3.0管理ガイド』の「Novell Auditによるログとレポート」を参照してください。
ワークフローの承認とユーザアプリケーション: Novell Identity Managerユーザアプリケーションは、洗練された識別サービスフレームワークにより直感的で高度な設定や管理が行える、多機能で強力なWebアプリケーション(およびサポートツール)です。Identity ManagerのプロビジョニングモジュールをNovell Auditと組み合わせて使用することで、Identity Managerユーザアプリケーションは安全でスケーラブル、さらに管理が容易な総合的エンドツーエンドのプロビジョニングソリューションになります。ユーザアプリケーションのドキュメントを参照してください。
図 2-2 DirXML 1.1aと同じツリーへのIdentity Managerのインストール
Identity ManagerとDirXML® 1.1aの両方を同じ環境で実行している場合、次の点を考慮してください。
Identity Managerプラグインでは、1.1a形式のドライバをクリックすると、変換を実行するかどうかを確認するメッセージが表示されます。これは、ウィザードで簡単に実行でき、ドライバ環境設定の機能には影響しません。処理の一部として、DirXML 1.1aバージョンのバックアップコピーが保存されます。
重要な例外として、ドライバシムをアップグレードすると、他のドライバポリシーを追加しない限りPassword Synchronization 1.0がADおよびNTで正しく動作しなくなります。方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドにあるパスワード同期に関する節を参照してください。
図 2-3 スターターパックからIdentity Managerへのアップグレード
他のNovell製品に含まれているIdentity Managerスターターパックソリューションにより、NTドメイン、Active Directory、およびeDirectoryに保持されている情報をライセンスに従って同期することが可能になります。PeopleSoft*、GroupWise®、およびLotus Notes*などの、他のいくつかのシステム用の評価版ドライバも、他のシステムのデータ同期を参照するために含まれています。
さらに、このソリューションによりユーザパスワードの同期が可能になります。PasswordSyncを使用すると、ユーザはこれらのどのシステムにログインするにも、1つのパスワードを覚えるだけでよくなります。管理者は、選択したシステムでパスワードを管理できます。これらの環境のいずれかでパスワードが変更されても、すべての環境で更新されます。
NetWare 6.5およびNterprise™ Linux Services 1.0に同梱されているIdentity Managerスターターパックは、DirXML 1.1a技術を基にしています。スターターパックから最新バージョンのIdentity Managerにアップグレードするときは、次の点に注意してください。
Identity Managerプラグインでは、1.1a形式のドライバをクリックすると、変換を実行するかどうかを確認するメッセージが表示されます。これは、ウィザードで簡単に実行でき、ドライバ環境設定の機能には影響しません。処理の一部として、DirXML 1.1aバージョンのバックアップコピーが保存されます。
重要な例外として、ドライバシムをアップグレードすると、他のドライバポリシーを追加しない限りPassword Synchronization 1.0がADおよびNTで正しく動作しません。方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドにあるパスワード同期に関する節を参照してください。
アクティベーションの詳細については、セクション 6.0, Novell Identity Manager製品を有効にするを参照してください。
図 2-4 Password Synchronization 1.0からIdentity Managerのパスワード同期へのアップグレード
Identity Managerのパスワード同期には、双方向パスワード同期、追加のプラットフォーム、およびパスワード同期に失敗した場合の電子メール通知など、多くの機能が備わっています。
Active DirectoryまたはNTドメインでPassword Synchronization 1.0を使用している場合、新しいドライバシムをインストールする前に、アップグレード手順を確認することは大変重要です。
Identity Manager 2.xをPassword Synchronization 2.0とともに実行している場合は、それらの手順に従う必要はありません。
Identity Managerのパスワード同期の概要については、『Novell Identity Manager 3.0管理ガイド』の「接続システム間のパスワード同期」を参照してください。その節には、旧機能と新機能の比較、必要条件、各接続システムでサポートされる機能のリスト、既存のドライバにサポートを追加する方法、新機能の使用方法を示すいくつかのシナリオなど、概念的な情報が含まれています。
この節では、次の項目について説明します。
新しいパスワード同期機能は、別個のエージェントではなく、ドライバポリシーにより制御されます。これは、同時にドライバ環境設定をアップグレードせずに新しいドライバシムをインストールした場合、Password Synchronization 1.0が既存のユーザに対してのみ機能し続けることを意味しています。新しいユーザ、移動したユーザ、または名前を変更したユーザは、ドライバ環境設定のアップグレードが完了するまでパスワード同期の対象にはなりません。
アップグレードするには、次の全体的な手順に従います。
この手順により、Identity Managerのパスワード同期に切り替えるまで、Password Synchronization 1.0が正常に機能し続けます。
『Novell Identity Manager 3.0管理ガイド』の「パスワード同期の実装」を参照してください。
詳細な方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドを参照してください。
eDirectoryの場合のアップグレードは比較的容易で、ドライバシムおよび環境設定に最新のパッチが適用されていれば、通常は、既存のDirXML 1.1aドライバ環境設定を変更しなくてもドライバシムは機能するようになっています。方法については、『eDirectory用のIdentity Managerドライバ: 実装ガイド』を参照してください。
Identity Managerのパスワード同期では、Password Synchronization 1.0より多くの接続システムがサポートされます。
他のシステムでサポートされる機能のリストについては、『Novell Identity Manager 3.0管理ガイド』の「パスワード同期をサポートする接続システム」を参照してください。
ドライバポリシーの「オーバーレイ」は、双方向パスワード同期機能を、これまでサポートされていなかった接続システムの既存のドライバに追加するのに役立ちます。『Novell Identity Manager 3.0管理ガイド』の「パスワード同期をサポートするための、既存のドライバ設定のアップグレード」を参照してください。
ユニバーサルパスワードは、eDirectory内で4段階の暗号化を施して保護されているため、その環境内では非常に安全です。双方向パスワード同期を使用していて、ユニバーサルパスワードを配布パスワードと同期する場合は、eDirectoryパスワードを抽出して他の接続システムにそれを送信しているという点に注意しなければなりません。パスワードの転送手段だけではなく、パスワードを同期する接続システムも保護する必要があります。『Novell Identity Manager 3.0管理ガイド』の「セキュリティ: ベストプラクティス」を参照してください。