1.1.1 Metadirectoryエンジン

メタディレクトリエンジンは、eDirectoryインタフェースと同期エンジンの2つのコンポーネントに分けられます。

1.1.2 ドライバ設定ファイル

ドライバ設定は、Identity Managerに含まれる事前設定済みのXMLファイルです。これらの設定ファイルはiManagerおよびDesignerのウィザードを使用してインポートできます。

これらのドライバ設定にはサンプルポリシーが含まれます。これらは運用環境での使用を目的としたものではなく、ユーザが変更するテンプレートとして提供されています。

1.1.3 Identity Managerのイベントキャッシュ

eDirectoryから生成されるすべてのイベントは、正常に処理されるまでイベントキャッシュに格納されています。これによって、接続不良、システムリ\'83\'5cースの損失、ドライバの入手不\'94\'5c、またはその他のネットワーク障害によってデータが失われないようにしています。

1.1.4 ドライバシム

ドライバシムは、接続システムと識別ボールト間における情報のルートとして機能します。シムはJava*、C、またはC++で記述されます。

メタディレクトリエンジンとドライバシムの間の通信は、イベント、クエリ、および結果を記述するXMLドキュメントの形式で行われます。ドライバシムは一般的にはドライバと呼ばれます。これは、識別\'83\'7bールトと接続システムとの間で情報が転送されるルートです。

シムでサポートされているオブジェクトイベントは次のとおりです。

また、Identity Managerが接続システムを照会できるように、シムは定義済みクエリの機\'94\'5cをサポートしている必要があります。

識別\'83\'7bールトで、接続システムでアクションを引き起こすイベントが発生すると、Identity Managerは、その識別\'83\'7bールトイベントを記述するXMLドキュメントを作成し、加入者チャネルを介してドライバシムに送信します。

接続システムでイベントが発生すると、接続システムイベントを記述するXMLドキュメントがドライバシムによって生成されます。続いて、ドライバシムが発行者チャネルを使用してそのXMLドキュメントをIdentity Managerに送信します。Identity Managerは、発行者ポリシーを使用してイベントを処理した後、適切なアクションを実行するよう識別\'83\'7bールトに指示します。

1.1.5 ドライバセット

ドライバセットは複数のIdentity Managerドライバを格納するコンテナオブジェクトです。一度に1つのドライバセットを1つのサーバに関連付けることができます。このため、実行中のドライバはすべて同じドライバセットにグループ化する必要があります。

ドライバセットオブジェクトは、そのオブジェクトを使用しているいずれかのサーバ上にある完全な読み書き可能レプリカに存在しなければならないため、ドライバセットをパーティションに分割することをお勧めします。これは、ユーザのレプリカが別のサーバに移動された場合に、ドライバオブジェクトが移動されないようにするためです。

次の\'90\'7dは、Designerでドライバセットがどのように\'95\'5c示されるのかを示します。

図 1-2 Designerでのドライバセット

次の\'90\'7dは、iManagerでドライバセットがどのように\'95\'5c示されるのかを示します。

図 1-3 iManagerでのドライバセット

DesignerのModeler (前の図 1-2)またはiManagerの概要ページ(前の図 1-3)から、以下を実行できます。

1.1.6 ドライバオブジェクト

ドライバオブジェクトは、識別ボールトと統合されている接続システムに接続されているドライバを表します。次のコンポーネントは、ドライバオブジェクトとその設定パラメータを\'8d\'5c成しています。

iManagerでは、［Identity Managerドライバの概要］ページにアクセスして、既存のドライバのパラメータ、ポリシー、スタイルシート、およびエンタイトルメントを変更できます。Identity Managerドライバの概要を次に示します。

図 1-4 Identity Managerドライバの概要

ドライバオブジェクトは、eDirectoryの権利の確認にも使用されます。ドライバオブジェクトには、読み込みまたは書き込みを行うオブジェクトに対して、必要なeDirectory権利を付与する必要があります。このためには、ドライバオブジェクトを、ドライバが同期化するeDirectoryオブジェクトのトラスティにするか、ドライバオブジェクトに同等セキュリティを付与します。

権利の割り当ての詳細については、『Novell eDirectory 8.8管理ガイド』の「eDirectoryでの権利」を参照してください。

1.1.7 発行者チャネルと加入者チャネル

Identity Managerドライバには、データを処理するための発行者チャネルと購読者チャネルの2つのチャネルが含まれています。発行者チャネルは、接続システムから識別ボールトにイベントを送信します。購読者チャネルは、識別ボールトから接続システムにイベントを送信します。各チャネルには、データの処理と変換の方法を定義する独自のポリシーが含まれています。

図 1-5 Designerの発行者チャネルおよび加入者チャネル

図 1-6 iManagerの発行者チャネルおよび加入者チャネル

1.1.8 イベントとコ\'83\'7dンド

Identity Managerのイベントとコマンドの違いは重要です。イベントがドライバに送信される場合、そのイベントはコマンドです。イベントがIdentity Managerに送信される場合、そのイベントは通知です。ドライバは、Identity Managerにイベント通知を送信する際に、接続システムで発生した変更をIdentity Managerに通知します。Metadirectoryエンジンは、設定可\'94\'5cなルールに基づいて、どのコ\'83\'7dンドを識別\'83\'7bールトに送信する必要があるかを決定します(コ\'83\'7dンドが必要な場合)。

Identity Managerは、ドライバにコ\'83\'7dンドを送信する場合、すでに識別\'83\'7bールトイベントを入力として受け付けて適切なポリシーを適用し、コ\'83\'7dンドが\'95\'5cす接続システム内の変更が必要であると判断しています。

1.1.9 ポリシーとフィルタ

ポリシーとフィルタによって、システム間のデータフローを制御できます。ポリシー内のルールを使用して、接続システムまたは接続元で使用するために、管理側の識別ボールトのクラス、属性、およびイベントをどのように変換するのかを定義します。ポリシーとフィルタの詳細については、「 Identity Manager 3.5.1のポリシーの理解 」を参照してください。

1.1.10 関連付け

大部分の識別情報管理製品では、接続システムからディレクトリにオブジェクトをマップするために、接続システムに何らかの識別子を格納する必要があります。Identity Managerでは、接続システムを変更する必要はありません。識別ボールトの各オブジェクトには、識別ボールトブジェクトを接続システム内の一意の識別子にマップする関連付けテーブルが含まれています。このテーブルはリバースインデックス形式なので、接続システムは、識別\'83\'7bールトの更新時に識別\'83\'7bールト識別子(識別名など)をドライバに提供する必要がありません。

2つのオブジェクト間の関連付けは、識別ボールト内の別のオブジェクトとまだ関連付けられていないオブジェクトでイベントが発生したときに作成されます。関連付けを作成するためには、定義可能な条件の最低限のセットが各オブジェクトで一致している必要があります。たとえば、4つの属性のうち2つ(フルネーム、電話番号、従業員ID、電子メールアドレス)が90%以上一致する場合にオブジェクトを関連付けるルールを作成できます。

2つのオブジェクトが同じかどうかを判断するための条件は、一致ポリシーで定義します。変更されたオブジェクトに対して一致するオブジェクトが見つからない場合は、新しいオブジェクトが作成されます。このためには、最低限の作成条件すべてに一致していなければなりません。これらの条件はポリシーの作成によって定義されます。最後に、新しいオブジェクトをネーミング階層の中のどの位置に作成するかがPlacement Policy (配置ポリシー)によって定義されます。

関連付けは次の2つの方法で作成できます。

形成されたオブジェクト間の関連付けは、管理者がオブジェクトを作成するか、または関連付けを削除するまで有効です。