従来、接続システムのエンタイトルメントはドライバごとに管理され、その方法はポリシービルダで作成するポリシーのようなドライバ設定ポリシーの作成と編集に限られていました。この従来型の分散モデルでは、別の管理者が各Identity Managerドライバと接続システムを管理することがほとんどで、システムのリ\'83\'5cースをユーザが利用できるかどうかを決定するビジネスポリシーは、各接続システムドライバのドライバ設定ポリシーで別々に「ハードコード」されます。
役割ベースエンタイトルメントモデルは、1人または少数の管理者がエンタイトルメントポリシーを制御する権利を持つ環境に適しています。このような管理者は、Identity Manager全体を理解している必要がありますが、Role-Based Entitlementインタフェースを使用するためにIdentity ManagerまたはXSLTまたはDirXMLスクリプトに関する\'8f\'5c分な専門知識はなくてもかまいません。
条件が一致した場合、役割ベースエンタイトルメントポリシーによりビジネスリソ-スを自動的に付与または取り消すことができます。エンタイトルメントとは、リソ-スにアクセスするための許可書のようなものです。許可書があると指定したリソ-スにアクセスでき、そのような許可書がないとアクセスできません。作業例としては、ユーザが条件1、2、および3を満たさない場合、Role-Based Entitlement (役割ベースのエンタイトルメント)ポリシーを介して、ユーザはグループHのメンバーになるけれども、ユーザが条件4および5を満たす場合、ユーザはグループIのメンバーになることを指定できます。
Role-Based Entitlement (役割ベースのエンタイトルメント)の管理を設定するには、次の3つのステップを行います。
まだに実行していない場合は、セクション 6.2.2, 他のIdentity Managerドライバでのエンタイトルメントの有効化で説明したとおりに、Identity ManagerドライバオブジェクトのDirXML-EntitlementRef属性を有効にします。
セクション 6.6, エンタイトルメントサービスドライバオブジェクトの作成の説明に従い、エンタイトルメントサービスドライバ(Entitlement.xml)をインストールします。
で説明したとおりに、iManagerでRole-Based Entitlement (役割ベースのエンタイトルメント)ポリシーを作成します。セクション 6.7, Entitlement Policy (エンタイトルメントポリシー)の作成
役割ベースエンタイトルメントは、エンタイトルメントサービスドライバ(Entitlement.xml)に依存しています。このドライバは、エンタイトルメントポリシーにユーザがメンバーシップを持っているかどうかを監視するエンジンサービスです。ユーザがEntitlement Policy (エンタイトルメントポリシー)のダイナミックグループのダイナミックメンバーシップ条件に合致するか、またはスタティックに含まれる場合、エンタイトルメントサービスドライバは、ユーザオブジェクトのDirXML-EntitlementRef属性の情報を更新します。
セクション 6.2.1, エンタイトルメントをサポートする、設定済みのIdentity Managerドライバに一覧表示してあるシステムについては、Identity Managerドライバ設定をインポートするときにエンタイトルメントを有効にできます。Identity Managerには、エンタイトルメント、エンタイトルメントを実装するためのポリシー、およびエンタイトルメントアクティビティのリッスンが有効になっているドライバがすでに設定に含まれている、多くのドライバが付属しています。提供されたポリシーをレビューすることができます。これらのポリシーでは、DirXML-EntitlementRef属性を監視し、エンタイトルメントを付与または取り消すことにより、エンタイトルメントがサポートされています。
次のいずれかが発生した場合のみ、エンタイトルメントサービスドライバによってDirXML-EntitlementRef属性が更新されます。
[Reevaluate Membership]タスクを使用した場合
ツリーのどの部分でユーザを再評価するかを指定した場合
ユーザが移動した場合
ユーザが名前変更された場合
Entitlement Policy (エンタイトルメントポリシー)のメンバーシップに使用される属性が変更された場合
エンタイトルメントポリシーを使用すると、接続システム上のエンタイトルメントおよび識別ボールトでの権限を付与できます。接続システムのエンタイトルメントは、次のとおりです。
アカウント
電子メール配布リストのメンバーシップ
グループメンバーシップ
指定した値が入力された、接続システムで対応するオブジェクトの属性
Placement (配置)
その他のカスタ\'83\'7dイズ可\'94\'5cなエンタイトルメント
エンタイトルメントで作成できるいくつかのオプションについて、有効化されたエンタイトルメントを持つドライバ設定で示しています。
各ドライバセットで使用するエンタイトルメントサービスドライバは1つであるため、エンタイトルメントポリシーが管理できるのは、ドライバセットに関連付けられているサーバ上の読み書き可能レプリカまたはマスタレプリカに含まれるユーザだけです。
役割ベースエンタイトルメントポリシーの機能は、Identity Managerに基づいています。したがって、接続システムを管理するには、Identity Managerドライバをインストールして適切に設定し、Identity Managerプラグインをインストールする必要があります。
Entitlement Policyの割り当てとIdentity Managerドライバ設定との間に衝突が発生するのを回避するため、ビジネスポリシーと、それがIdentity Managerでどのように管理されているかに注意してください。 Identity ManagerのEntitlement Policy (エンタイトルメントポリシー)およびドライバ設定のポリシーは、属性を管理している間は重複または衝突することはできません。