6.8 Role-Based Entitlement (役割ベースのエンタイトルメント)ポリシー間での衝突解決
6.8.1 衝突の概要
Entitlement Policy (エンタイトルメントポリシー)を作成する場合、特定のユーザに影響を与えるポリシーがそのユーザへのエンタイトルメントの割り当てと衝突する可\'94\'5c性があります。
このような衝突の解決方法を、次に説明します。一部のエンタイトルメントについては、衝突の解決を変更できます。
-
値のないエンタイトルメントが付加された場合。 多くの場合、アカウントのエンタイトルメントには値がありません。ユーザがエンタイトルメントポリシーによって接続システムのアカウントを付与される場合、ユーザはその接続システムのアカウントを受け取ります。別のEntitlement Policy (エンタイトルメントポリシー)が衝突するかどうかは関係なく、結果が付加されます。
これは常に正しく、アカウント付与についての衝突の解決方法は変更できません。
値のないエンタイトルメントは、照明のスイッチに例えることができます。「オン」または「オフ」、付与されたか付与されないかです。
たとえば、「\'83\'7dネージャEntitlement Policy (エンタイトルメントポリシー)」によってJean Chandler氏にExchangeアカウントが付与されるにもかかわらず、Jean Chandler氏が、同様にExchangeアカウントを付与する「メールルーム従業員Entitlement Policy (エンタイトルメントポリシー)」からは除外されている場合、Jean氏はExchangeアカウントを取得できます。
-
値のあるエンタイトルメントがデフォルトで付加されるが、優先度に従って解決するよう選択できる場合 - グループメンバーシップなどのエンタイトルメントには、値、または値のある属性のグループ名のリストがあります。デフォルトでは、この種類のエンタイトルメントも付加できます。
必要に応じて、この種類のエンタイトルメントの衝突の解決を変更できます。
-
conflict-resolution=“union” — 「union」という値は、エンタイトルメントが付加可能であることを意味します。ユーザには、ポリシーのメンバーシップにより割り当てられているすべてのエンタイトルメントが付与されます。異なるエンタイトルメント値は単に追加され、ユーザはそれらすべてを取得します。
たとえば、Jameel氏が、「トレードショーメーリングリスト」というGroupWiseの電子メール配布リストのメンバーシップを付与する「トレードショーコントラクタポリシー」のメンバーであり、「トレードショーメーリングリスト」という電子メール配布リストも割り当てる「トレードショー\'83\'7dネージャポリシー」のメンバーシップから除外されている場合でも、電子メール配布リストのメンバーシップが引き続き付与されます。
別の例を挙げると、メールルームポリシーにより、「メールルームスタッフ」というActive DirectoryグループのメンバーシップがConsuela氏に付与され、緊急ボランティアポリシーによる「緊急対応」というActive Directoryグループのメンバーシップも付与されている場合、Consuela氏にはActive Directory内の両グループのメンバーシップが付与されます。
この設定では、ポリシーのリスト内のEntitlement Policy (エンタイトルメントポリシー)の順序は、エンタイトルメントについては重要ではありません。
-
conflict-resolution=“priority” — 「priority」という値は、2つの異なるポリシー間の値が衝突した場合、または1つのポリシーに含まれるユーザが別のポリシーでは除外されている場合、そのユーザに付与されるエンタイトルメントは、Entitlement Policy (エンタイトルメントポリシー)のリストでより上位に記述されているEntitlement Policy (エンタイトルメントポリシー)のエンタイトルメントのみになることを意味します。
前の例は、この設定では別の結果となります。
前のJameel氏の例では、GroupWiseの電子メール配布リストのエンタイトルメントが「priority」という値を持ち、「トレードショー\'83\'7dネージャポリシー」が「トレードショーコントラクタポリシー」より上位にリスト\'95\'5c示される場合、「トレードショーメーリングリスト」のメンバーシップは、Jameel氏に付与されません。
前のConsuela氏の例では、Active Directory NOSグループメンバーシップのエンタイトルメントが「priority」という値を持ち、メールルームポリシーが緊急ボランティアポリシーよりリスト内で上位にある場合、Consuela氏にはメールルームスタッフグループのメンバーシップのみが付与されます。衝突の解決が付加ではなく優先度によって設定されているため、緊\'8b\'7d対応グループのメンバーシップは付与されません。
たとえば、役割ベースエンタイトルメントを使用して別のシステムの階層構造にユーザを配置するように環境を設定する場合には、この機能が役立ちます。ユーザは任意の1ヶ所に配置でき、同時に2ヶ所に配置することはできません。
設定は、ドライバごとに提供される各エンタイトルメントとは関係ありません。
原則として、「priority」の設定を使用する場合、管理者またはマネージャのポリシーは、エンドユーザや個々の貢献者のポリシーよりリスト内で上位に配置する必要があります。広いメンバーシップを持つグループは、狭いメンバーシップを持つグループより上位に配置することをお勧めします。
-
6.8.2 各エンタイトルメントの衝突の解決方法の変更
-
iManagerで、[
-
[ドライバ]状態ボタンをクリックし、[]を選択します。
-
変更するエンタイトルメントを提供するドライバのドライバアイコンをクリックします。
-
[ドライバの概要]ページで、[]をクリックし、[]をクリックします。
![[エンタイトルメント]タブ](../graphics/entitlements_tab.png)
-
エンタイトルメント名をクリックして、XMLビューアでエンタイトルメントを編集します。
-
[
-
XMLで、変更するエンタイトルメントの定義を検索します。
たとえば、次の行を検索します。
<entitlement conflict-resolution="union" description="Grants membership to GroupWise Distribution lists" display-name="GroupWise Distribution Lists" name="gwDistLists">
-
conflict-resolutionの値を変更します。次の2つの値を指定できます。
conflict-resolution="union"
conflict-resolution="priority"
これらの値の詳細については、Role-Based Entitlement (役割ベースのエンタイトルメント)ポリシー間での衝突解決を参照してください。
-
[]をクリックし、変更を保存します。
-
[]タブをクリックして、ドライバアイコンにアクセスします。
-
[]をクリックしてドライバを再起動します。
-
[]をクリックして、エンタイトルメントサービスドライバを参照して再起動します。
6.8.3 Entitlement Policy (エンタイトルメントポリシー)の優先度の設定
デフォルトでは、エンタイトルメントポリシーのリスト内の順序に意味はありません。これは、Identity Manager に付属のドライバには、各エンタイトルメントの衝突の解決方法としてconflict-resolution="union"が設定されているためです。
任意のエンタイトルメントをconflict-resolution="priority"に変更した場合、エンタイトルメントポリシーのリスト内の順序は意味を持ちますが、対象となるのは変更したエンタイトルメントのみです。これらの値の詳細については、Role-Based Entitlement (役割ベースのエンタイトルメント)ポリシー間での衝突解決を参照してください。
エンタイトルメントポリシーの順序を変更するには、エンタイトルメントポリシーのリストの横にある矢印ボタンを使用します。リスト内の最初のポリシーは、優先度が最も高いことを示します。
-
iManagerで、[
-
ドライバセットを検索して選択します。
Entitlement Policy (エンタイトルメントポリシー)のリストを示すページが\'95\'5c示されます。
-
矢印\'83\'7bタンを使用してポリシーをリスト内で上下に移動し、Entitlement Policy (エンタイトルメントポリシー)の優先度を変更します。
Entitlement Policy (エンタイトルメントポリシー)をリストの最上位に移動すると、最も高い優先度が与えられます。
-
[
優先度の変更は、ドライバを再起動するまでは有効になりません。