6.7 Entitlement Policy (エンタイトルメントポリシー)の作成

Entitlement Policy (エンタイトルメントポリシー)を作成するには、提供されるウィザードを使用します。

  1. エンタイトルメントサービスドライバが設定されていること、および必要なドライバ設定が作成されていることを確認します。

  2. iManagerで、[Role-Based Entitlements]>[Role-Based Entitlements]の順にクリックします。

  3. ドライバセットを選択します。

    Entitlement Policy (エンタイトルメントポリシー)は、ドライバセットごとに設定します。

    既存のエンタイトルメントポリシーのリストが、次の図に示されているページのように開きます。初めてRole-Based Entitlement (役割ベースのエンタイトルメント)を使用する場合は、リストに\'95\'5c示されるポリシーはありません。

    エンタイトルメントポリシーのリスト

  4. [新規]をクリックします。

    エンタイトルメントポリシーウィザードが開きます。

    メモ:新しいエンタイトルメントポリシーを作成すると、エンタイトルメントサービスドライバが停止します。ポリシーの作成が完了したら、[再起動]をクリックする必要があります。

  5. ウィザードのステップ 5.aからステップ 5.fに従い、新しいポリシーを作成します。ウィザードの各ステップについては、オンラインヘルプを参照してください。

    1. ポリシーの名前と説明を指定して、[次へ]をクリックします。

      ポリシーに名前を付けと説明を加える

    2. 検索パラメータを定義して、ダイナミックメンバーシップフィルタを定義します。

      1. 検索を実行する権限があるユーザを指定します。

      2. 検索を開始する場所を指定します。

      3. 検索のスコープを指定します。

      4. フィルタ条件を定義して、[次へ]をクリックします。

        条件により、エンタイトルメントポリシーのメンバーであるユーザが判断されます。

        フィルタ条件を定義する

    3. 検索条件にメンバーを含めるまたは条件からメンバーを除外して、スタティックメンバーを定義して、[次へ]をクリックします。

      検索条件内のスタティックメンバー

    4. ポリシーのエンタイトルメントと値を定義します。

      1. ドライバの追加]をクリックして、含めるIdentity Managerドライバと要素を選択します。

        エンタイトルメントはセクション 6.4, iManagerを介したXMLでのエンタイトルメントの記述で作成しました。

      2. エンタイトルメントが設定されているドライバを参照して選択し、[追加]をクリックします。

        エンタイトルメントが設定されているドライバを選択する

      3. エンタイトルメントを選択して、[追加]をクリックします。

        エンタイトルメントを選択する

      4. プラス[+]アイコンをクリックして、エンタイトルメントの値を定義します。

        エンタイトルメントの値を定義する

      5. 希望する値を選択して、[OK]をクリックします。

        エンタイトルメントの値を選択する

      6. 次へ]をクリックします。

    5. このエンタイトルメントポリシーをトラスティにするオブジェクトを参照します。

      1. オブジェクトの追加]をクリックしてオブジェクトを参照して、[OK]をクリックします。

      2. オブジェクトを選択して、[プロパティの追加]をクリックします。

        プロパティを設定する

      3. 希望するプロパティを定義して、[次へ]をクリックします。

    6. サマリを読み、実行したい内容がエンタイトルメントポリシーで行われることを確認します。確認後問題なければ[Finish]をクリックし、問題があれば[Back]をクリックします。

      サマリ画面

  6. Restart]をクリックしてセッションを完了します。

    Entitlement Policy (エンタイトルメントポリシー)の作成により、エンタイトルメントサービスドライバがオフになります。

6.7.1 Entitlement Policy (エンタイトルメントポリシー)のためのメンバーシップの定義

Identity Managerドライバと同様、各エンタイトルメントポリシーが管理できるのは、割り当てられたサーバ上のマスタレプリカまたは読み書き可能レプリカに存在するオブジェクトだけです。各Entitlement Policy (エンタイトルメントポリシー)は、特定のサーバに割り当てられている1つのドライバセットオブジェクトに関連付けられます。

エンタイトルメントポリシーのメンバーになることができるのは、ユーザオブジェクト、およびユーザのクラスに基づく他のオブジェクトタイプだけです。エンタイトルメントポリシーの[メンバーシップ]ページを表示するには、[役割ベースエンタイトルメント]>[役割ベースエンタイトルメント]の順に選択し、エンタイトルメントポリシーリストから編集するエンタイトルメントポリシーを強調表示し、[編集]を選択します。Internet Explorerブラウザでは[Membership]タブを選択します。Firefoxブラウザではプルダウンメニューから[Edit Dynamic Members]を選択します。

エンタイトルメントポリシーは、ダイナミックグループオブジェクトです。エンタイトルメントポリシーのメンバーシップは、ダイナミックおよびスタティックの2つの方法で定義できます。同じエンタイトルメントポリシーで、この両方の方法を使用できます。

  • ダイナミック: 役職名に「マネージャ」という語が含まれるかなど、オブジェクトの属性値に基づき、メンバーシップの条件を定義できます。指定する条件は、LDAPフィルタに変換されます。

    条件に一致するユーザは自動的にエンタイトルメントポリシーの一部になります。各ユーザを個別にポリシーに追加する必要はありません。ダイナミックメンバーシップは、ダイナミックグループオブジェクトと同様です。

    オブジェクトが変更されダイナミックメンバーシップの条件に合致しなくなった場合は、エンタイトルメントは自動的に取り消されます。

    図 6-2 ダイナミックメンバーおよびスタティックメンバーの編集

  • スタティック - ダイナミックメンバーシップの条件(LDAPフィルタ)の作成に加え、特定のユーザを含めたり、除外したりすることができます。

    フィルタの条件に一致しないメンバーは、スタティックに追加できます。フィルタの条件に合致していても、Entitlement Policy (エンタイトルメントポリシー)に含める必要がないメンバーは除外できます。

メモ:役割ベースエンタイトルメント]>[メンバーシップの再評価]オプションの順にクリックして再評価を実行し、エンタイトルメントサービスドライバを停止した場合、ドライバを再起動後に、再評価処理を開始できます。

6.7.2 Entitlement Policy (エンタイトルメントポリシー)のためのエンタイトルメントの選択

エンタイトルメントを使用すると、接続システム上のサービスおよび識別\'83\'7bールトの権利へのアクセスを付与または取り消すことができます。

インストールするエンタイトルメントが有効なドライバには、エンタイトルメントポリシーを使用して割り当てることができるエンタイトルメントのリストが付属しています。エンタイトルメントポリシーで使用できる、独自のエンタイトルメントを作成できます。ドライバが提供できるエンタイトルメントは、ドライバの子オブジェクトです。これは、ドライバおよび接続システムの機\'94\'5cを示すためにドライバ開発者が作成するものです

識別ボールト内のオブジェクトに対するトラスティ権は、エンタイトルメントポリシーのメンバーにただちに付与されます。デフォルトでは、次にEntitlement Policy (エンタイトルメントポリシー)メンバーシップに使用される属性が変更されたとき、またはユーザが別のコンテナに移動されたり名前変更されたりしたときに、接続システムのエンタイトルメントがEntitlement Policy (エンタイトルメントポリシー)の各メンバーに付与されます。

接続システムのエンタイトルメントは、次のとおりです。

  • アカウント

  • 電子メール配布リストのメンバーシップ

  • NOSリストのグループメンバーシップ

  • 指定した値が入力された、接続システムで対応するオブジェクトの属性

  • その他のカスタ\'83\'7dイズ可\'94\'5cなエンタイトルメント

接続システムのアカウント

エンタイトルメントポリシーにエンタイトルメントを追加するには、[エンタイトルメント]ページに移動してドライバを選択します。ドライバが提供するエンタイトルメントを示すポップアップウィンドウが\'95\'5c示されます。

たとえば、次の\'90\'7dは、GroupWiseドライバにより2種類のエンタイトルメントが提供され、リストの先頭に[GroupWise User Account]が\'95\'5c示されていることを示します。

図 6-3 エンタイトルメントを定義するインタフェース

電子メール配布リストおよびNOSリストのメンバーシップ

接続システム上のグループにメンバーシップを割り当てるには、ドライバが提供するエンタイトルメントのリストからメンバーシップエンタイトルメントを選択します。

次の\'90\'7dは、[GroupWise Distribution Lists]がリストの2番目に\'95\'5c示されている例を示します。

図 6-4 GroupWise配布リストの選択

この例で[GroupWise Distribution Lists]を選択した場合、次の\'90\'7dの例のようなクエリポップアップが\'95\'5c示されます。

図 6-5 エンタイトルメントのクエリ

エンタイトルメントポリシーインタフェースを使用すると、電子メール配布リストまたはNOSリストを問い合わせることができます。クエリが実行された後、キャッシュされたリストを\'95\'5c示するよう選択できます。

ドライバは完全なリストを返すように設定されているので、接続システムに存在するリストから選択できます。

メモ:完全なリストを返すクエリではなく、指定したグループ名にリストを制限するようドライバをカスタ\'83\'7dイズできます。

接続システムの属性値

接続システムのユーザアカウントには、属性値を割り当てられます。このインタフェースにより、ユーザアカウントに割り当てる値を入力できます。

次の\'90\'7dは、Notesの属性Departmentに属性値を追加する例を示します。

図 6-6 属性値の追加