2.1 一般的なインストールシナリオ

次に示すシナリオは、Identity Managerを使用可能な環境の例です。各シナリオでは、実装に役立ついくつかのガイドラインが示されます。

2.1.1 Identity Managerの新しいインストール

図 2-1 新しいインストール

Identity Managerは、アイデンティティボールトを活用して、アプリケーション、データベース、およびディレクトリ間における情報を自動的に同期、変換、および分散するデータ共有ソリューションです。

Identity Managerソリューションには、次のコンポーネントが含まれています。

アイデンティティボールトとIdentity Manager

アイデンティティボールトには、他の接続システムと共有または同期するユーザデータやオブジェクトデータが含まれています。Identity Managerは、独自のeDirectory™インスタンスにインストールして、専用のアイデンティティボールトとして使用することをお勧めします。

iManagerサーバとIdentity Managerプラグイン

Identity Managerソリューションを管理するには、Novell® iManagerとIdentity Managerプラグインを使用します。

接続されたシステム

接続システムには、アイデンティティボールトとデータを共有または同期する他のアプリケーション、ディレクトリ、およびデータベースを共存させることができます。アイデンティティボールトから接続システムへの接続を確立するには、その接続システムに適したドライバをインストールします。具体的な手順については、『ドライバ実装ガイド』を参照してください。

Identity Managerの一般的なタスク

  • システムコンポーネントのインストール: Identity Managerソリューションは複数のコンピュータ、サーバ、またはプラットフォームに分散して使用する可能性があるため、システムごとにインストールプログラムを実行して、適切なコンポーネントをインストールする必要があります。詳細については、セクション 4.2, Identity Managerのコンポーネントとシステム要件を参照してください。

  • 接続システムの設定: 具体的な手順については、セクション 4.2, Identity Managerのコンポーネントとシステム要件および『ドライバ実装ガイド』を参照してください。

  • ソリューションを有効にする: Identity Manager製品(Professional Edition、Server Edition、統合モジュール、およびユーザアプリケーション)は、インストールから90日以内にアクティベーションを行う必要があります。セクション 6.0, Novell Identity Manager製品を有効にするを参照してください。

  • ビジネスポリシーの定義: ビジネスポリシーでは、アイデンティティボールトでやり取りする情報のフローを特定の環境に合わせてカスタマイズできます。ポリシーは、その他にも新しいオブジェクトの作成、属性値の更新、スキーマ変換の実行、一致条件の定義、Identity Managerの関連付けの維持など、多くのタスクを実行します。ポリシーについて詳しくは、『Policy Builder and Driver Customization Guide』を参照してください。

  • パスワードの管理の設定: パスワードポリシーを使用することで、ユーザのパスワード作成方法を規定し、セキュリティを向上できます。ユーザ自身でパスワード忘れや、パスワードリセットに対処できるセルフサービスオプションを付加することにより、ヘルプデスクの運用コストの削減にもつながります。パスワード管理の詳細については、『Password Management Administration Guide』の「Managing Passwords by Using Password Policies」を参照してください。

  • エンタイトルメントの設定: エンタイトルメントの定義により、接続システムのエンタイトルメントを、アイデンティティボールト内のユーザの定義済みグループに付与できます。エンタイトルメントポリシーを使用すると、ビジネスポリシーの管理を合理化できるため、Identiry Managerドライバを設定する必要性が軽減されます。詳細については、『Novell Identity Manager 3.0管理ガイド』の「エンタイトルメントの作成と使用」を参照してください。

  • Novell Auditを使用したイベントのログ: Identity Managerは、監査とレポーティングにNovell Auditを使用するように設計されています。Novell Auditには、監査、ログ、レポート、および通知などの機能を実現する技術が集約されています。Identity Managerでは、Novell Auditと統合することで、ドライバとエンジンのアクティビティに関する現在と過去の状態の詳細な情報を供給します。この情報は、設定済みのレポート、標準の通知サービス、およびユーザ定義ログなどの一連の機能により提供されます。『Novell Identity Manager 3.0管理ガイド』の「Novell Auditによるログとレポート」を参照してください。

  • ワークフローの承認とユーザアプリケーション: Novell Identity Managerユーザアプリケーションは、洗練された識別サービスフレームワークにより直感的で高度な設定や管理が行える、多機能で強力なWebアプリケーション(およびサポートツール)です。Identity ManagerのプロビジョニングモジュールをNovell Auditと組み合わせて使用することで、Identity Managerユーザアプリケーションは安全でスケーラブル、さらに管理が容易な総合的エンドツーエンドのプロビジョニングソリューションになります。ユーザアプリケーションのドキュメントを参照してください。

2.1.2 同じ環境でのIdentity ManagerおよびDirXML 1.1aの使用

図 2-2 DirXML 1.1aと同じツリーへのIdentity Managerのインストール

Identity ManagerとDirXML® 1.1aの両方を同じ環境で実行している場合、次の点を考慮してください。

アイデンティティボールトの作成

  • Identity Managerは、別個のeDirectoryインスタンスにインストールし、専用のアイデンティティボールトとして使用することをお勧めします。

管理ツール

  • ConsoleOne®はDirXML 1.1aではサポートされますが、Identity Managerではサポートされません。
  • 2つのiManagerサーバ(DirXML 1.1aプラグインとIdentity Managerプラグインにそれぞれのサーバ)が必要になります。これは、プラグインの機能が拡張されていること、Identity ManagerではDirXMLスクリプトが使用されていることに起因します。
  • DirXML 1.1aのiManagerプラグインは、ほとんどのIdentity Managerドライバの定義済みドライバ環境設定で使用されるDirXMLスクリプトを読み込めません。

後方互換性

  • DirXML 1.1aドライバシムおよび環境設定はIdentity Managerサーバで実行でき、iManagerのドライバはドライバセットの[Identity Managerの概要]で表示できます。ただし、Identity Managerプラグインを使用する場合、ドライバをIdentity Manager形式に変換せずにドライバ環境設定を表示および編集することはできません。

    Identity Managerプラグインでは、1.1a形式のドライバをクリックすると、変換を実行するかどうかを確認するメッセージが表示されます。これは、ウィザードで簡単に実行でき、ドライバ環境設定の機能には影響しません。処理の一部として、DirXML 1.1aバージョンのバックアップコピーが保存されます。

  • DirXML 1.1aドライバのアクティベーションは、Identity Managerエンジンとともに実行している場合でも有効です。ただし、ドライバシムをIdentity Managerバージョンにアップグレードした場合は、新しいアクティベーションキーを入手する必要があります。詳細については、セクション 6.0, Novell Identity Manager製品を有効にするを参照してください。
  • ほとんどの場合、Identity ManagerドライバシムをDirXML 1.1a環境設定で実行することはできません。アップグレード情報については、それぞれのドライバ実装ガイドで参照してください。

    重要な例外として、ドライバシムをアップグレードすると、他のドライバポリシーを追加しない限りPassword Synchronization 1.0がADおよびNTで正しく動作しなくなります。方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドにあるパスワード同期に関する節を参照してください。

  • Identity Managerドライバシムとドライバ環境設定をDirXML 1.1aエンジンで実行することはできません。
  • Identity Managerドライバ環境設定をDirXML 1.1aドライバシムで実行することはできません。
  • 同じIdentity Managerドライバ環境設定を複数のサーバで実行する場合、すべてのサーバで同じバージョンのIdentity Managerと同じバージョンのeDirectoryが実行されていることを確認してください。

パスワードの管理

  • 強力なパスワードを要求する高度なパスワードルールや、[パスワードを忘れた場合]セルフサービスおよび[パスワードのリセット]セルフサービスなどの機能を有効にするパスワードポリシーを作成できます。『Password Management Administration Guide』の次の節を参照してください。
  • NetWare 6.5®の初期リリースでユニバーサルパスワードの使用を開始した場合、新しいパスワードポリシー機能を使用するにはいくつかのアップグレード手順を実行する必要があります。『Password Management Administration Guide』の「(NetWare 6.5 only) Re-Creating Universal Password Assignments」を参照してください。NetWare 6.5 SP2でユニバーサルパスワードの使用を開始した場合は、これらの手順は必要ありません。
  • Identity Managerのパスワード同期では、双方向パスワード同期を使用でき、Password Synchronization 1.0より多くのプラットフォームがサポートされます。
  • ADまたはNTでPassword Synchronization 1.0を使用している場合は、新しいドライバシムをインストールする前に必ずアップグレード手順を確認してください。セクション 2.1.4, Password Synchronization 1.0からIdentity Managerのパスワード同期へのアップグレードを参照してください。
  • ドライバポリシーの「オーバーレイ」は、双方向パスワード同期機能を既存のドライバに追加するのに役立ちます。『Novell Identity Manager 3.0管理ガイド』の「パスワード同期をサポートするための、既存のドライバ設定のアップグレード」を参照してください。

2.1.3 スターターパックからIdentity Managerへのアップグレード

図 2-3 スターターパックからIdentity Managerへのアップグレード

他のNovell製品に含まれているIdentity Managerスターターパックソリューションにより、NTドメイン、Active Directory、およびeDirectoryに保持されている情報をライセンスに従って同期することが可能になります。PeopleSoft*、GroupWise®、およびLotus Notes*などの、他のいくつかのシステム用の評価版ドライバも、他のシステムのデータ同期を参照するために含まれています。

さらに、このソリューションによりユーザパスワードの同期が可能になります。PasswordSyncを使用すると、ユーザはこれらのどのシステムにログインするにも、1つのパスワードを覚えるだけでよくなります。管理者は、選択したシステムでパスワードを管理できます。これらの環境のいずれかでパスワードが変更されても、すべての環境で更新されます。

NetWare 6.5およびNterprise™ Linux Services 1.0に同梱されているIdentity Managerスターターパックは、DirXML 1.1a技術を基にしています。スターターパックから最新バージョンのIdentity Managerにアップグレードするときは、次の点に注意してください。

管理ツール

  • ConsoleOneはDirXML 1.1aではサポートされますが、Identity Managerではサポートされません。

後方互換性

  • DirXML 1.1aドライバシムおよび環境設定はIdentity Managerサーバで実行でき、iManagerのドライバはドライバセットの[Identity Managerの概要]で表示できます。ただし、Identity Managerプラグインを使用する場合、ドライバをIdentity Manager形式に変換せずにドライバ環境設定を表示および編集することはできません。

    Identity Managerプラグインでは、1.1a形式のドライバをクリックすると、変換を実行するかどうかを確認するメッセージが表示されます。これは、ウィザードで簡単に実行でき、ドライバ環境設定の機能には影響しません。処理の一部として、DirXML 1.1aバージョンのバックアップコピーが保存されます。

  • DirXML 1.1aドライバのアクティベーションは、Identity Managerエンジンとともに実行している場合でも有効です。ただし、ドライバシムをIdentity Managerバージョンにアップグレードした場合は、新しいアクティベーションが必要です。
  • ほとんどの場合、Identity ManagerドライバシムをDirXML 1.1a環境設定で実行することはできません。アップグレード情報については、それぞれのドライバ実装ガイドで参照してください。

    重要な例外として、ドライバシムをアップグレードすると、他のドライバポリシーを追加しない限りPassword Synchronization 1.0がADおよびNTで正しく動作しません。方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドにあるパスワード同期に関する節を参照してください。

  • Identity Managerドライバシムとドライバ環境設定をDirXML 1.1aエンジンで実行することはできません。
  • Identity Managerドライバ環境設定をDirXML 1.1aドライバシムで実行することはできません。
  • 同じIdentity Managerドライバ環境設定を複数のサーバで実行する場合、すべてのサーバで同じバージョンのIdentity Managerと同じバージョンのeDirectoryが実行されていることを確認してください。

パスワードの管理

アクティベーション

  • すべてのIdentity Manager製品は、90日以内に有効にする必要があります。他のNovellソフトウェアを購入した場合、DirXMLスターターパックには、DirXML 1.1aエンジンと、NT、AD、およびeDirectoryドライバのアクティベーションキーが含まれています。Identity Managerスターターパックからアップグレードする場合は、それらのドライバに対し、アクティベーションキーを再適用しなければならない場合があります。

    アクティベーションの詳細については、セクション 6.0, Novell Identity Manager製品を有効にするを参照してください。

2.1.4 Password Synchronization 1.0からIdentity Managerのパスワード同期へのアップグレード

図 2-4 Password Synchronization 1.0からIdentity Managerのパスワード同期へのアップグレード

Identity Managerのパスワード同期には、双方向パスワード同期、追加のプラットフォーム、およびパスワード同期に失敗した場合の電子メール通知など、多くの機能が備わっています。

Active DirectoryまたはNTドメインでPassword Synchronization 1.0を使用している場合、新しいドライバシムをインストールする前に、アップグレード手順を確認することは大変重要です。

Identity Manager 2.xをPassword Synchronization 2.0とともに実行している場合は、それらの手順に従う必要はありません。

Identity Managerのパスワード同期の概要については、『Novell Identity Manager 3.0管理ガイド』の「接続システム間のパスワード同期」を参照してください。その節には、旧機能と新機能の比較、必要条件、各接続システムでサポートされる機能のリスト、既存のドライバにサポートを追加する方法、新機能の使用方法を示すいくつかのシナリオなど、概念的な情報が含まれています。

この節では、次の項目について説明します。

ADまたはNTのパスワード同期のアップグレード

新しいパスワード同期機能は、別個のエージェントではなく、ドライバポリシーにより制御されます。これは、同時にドライバ環境設定をアップグレードせずに新しいドライバシムをインストールした場合、Password Synchronization 1.0が既存のユーザに対してのみ機能し続けることを意味しています。新しいユーザ、移動したユーザ、または名前を変更したユーザは、ドライバ環境設定のアップグレードが完了するまでパスワード同期の対象にはなりません。

アップグレードするには、次の全体的な手順に従います。

  1. 環境をアップグレードして、ユニバーサルパスワードがサポートされるようにします。Novell Client™を使用している場合には、これもアップグレード対象になります。
  2. Identity Manager 3.0ドライバシムをインストールして、ADまたはNTのDirXML 1.1aドライバシムを置き換えます。
  3. ドライバ環境設定にただちに新しいポリシーを追加することで、Password Synchronization 1.0との後方互換性を維持します。

    この手順により、Identity Managerのパスワード同期に切り替えるまで、Password Synchronization 1.0が正常に機能し続けます。

  4. ドライバポリシーを使用して、Identity Managerの新しいパスワード同期のサポートを追加します。
  5. 新しいパスワード同期フィルタをインストールして設定します。
  6. 必要に応じてSSLを設定します。
  7. 必要に応じて、パスワードポリシーを使用してユニバーサルパスワードをオンにします。
  8. 使用するIdentity Managerのパスワード同期シナリオを設定します。

    Novell Identity Manager 3.0管理ガイド』の「パスワード同期の実装」を参照してください。

  9. Password Synchronization 1.0を削除します。

詳細な方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドを参照してください。

eDirectoryのパスワード同期のアップグレード

eDirectoryの場合のアップグレードは比較的容易で、ドライバシムおよび環境設定に最新のパッチが適用されていれば、通常は、既存のDirXML 1.1aドライバ環境設定を変更しなくてもドライバシムは機能するようになっています。方法については、『eDirectory用のIdentity Managerドライバ: 実装ガイド』を参照してください。

他の接続システムドライバのアップグレード

Identity Managerのパスワード同期では、Password Synchronization 1.0より多くの接続システムがサポートされます。

他のシステムでサポートされる機能のリストについては、『Novell Identity Manager 3.0管理ガイド』の「パスワード同期をサポートする接続システム」を参照してください。

ドライバポリシーの「オーバーレイ」は、双方向パスワード同期機能を、これまでサポートされていなかった接続システムの既存のドライバに追加するのに役立ちます。『Novell Identity Manager 3.0管理ガイド』の「パスワード同期をサポートするための、既存のドライバ設定のアップグレード」を参照してください。

機密情報の処理

ユニバーサルパスワードは、eDirectory内で4段階の暗号化を施して保護されているため、その環境内では非常に安全です。双方向パスワード同期を使用していて、ユニバーサルパスワードを配布パスワードと同期する場合は、eDirectoryパスワードを抽出して他の接続システムにそれを送信しているという点に注意しなければなりません。パスワードの転送手段だけではなく、パスワードを同期する接続システムも保護する必要があります。『Novell Identity Manager 3.0管理ガイド』の「セキュリティ: ベストプラクティス」を参照してください。