Identity Managerは、識別ボールトと接続システム間におけるデータの同期機能を提供します。接続システムは、アプリケーション、ディレクトリ、データベース、またはファイルで\'8d\'5c成されます。
Identity Managerには、いくつかのコンポーネントが含まれています。次の\'90\'7dは、基\'96\'7bコンポーネントとそれらの関係を示します。
図 1-1 Identity Managerのコンポーネント
MetadirectoryエンジンはIdentity Managerアーキテクチャの重要なモジュールです。このエンジンは、Identity Managerドライバが識別\'83\'7bールトと情報を同期化できるインタフェースを提供し、異なるデータシステムでも接続してデータを共有できるようにします。
メタディレクトリエンジンは、XML形式を使用して識別ボールトデータおよび識別ボールトイベントを処理します。Metadirectoryエンジンはルールプロセッサとデータ変換エンジンを採用し、2つのシステム間のデータフローを操作しています。
すべてのIdentity Managerドライバのフィルタを読み込みます。
適切な識別\'83\'7bールトイベントのドライバを登録します。
各ドライバの指定に従ってデータをフィルタ処理します。
各ドライバに渡される識別\'83\'7bールトイベントのキャッシュを設定します。
識別\'83\'7bールトは、初期化時に次の処理を実行します。
イベントがキャッシュされると、そのキャッシュを所有するドライバがイベントを読み込みます。
ドライバは識別ボールトデータをeDirectoryのネイティブ形式で受信し、これをXDS形式(Identity Managerで使用されるXMLボキャブラリで、ポリシーによって変換できます)に変換した後、イベントをメタディレクトリエンジンに送信します。このエンジンが接続システムドライバ内のすべてのポリシーを読み込み、ポリシーに従ってXML形式のデータが作成されて、接続システムドライバに送信されます。次に、接続システムにデータが送信されます。ポリシーの詳細については、「Identity Manager 3.5.1のポリシーの理解」を参照してください。
ドライバの発行者部分は、接続システムからの更新情報の収集と、それらの情報の識別ボールトへの送信を担当します。2つのシステム間で共有している情報の変更が接続システムドライバに通知されると、接続システムドライバはそれらの情報を収集し、フィルタに適合したデータ群かどうかを確認した後XDS形式に変換してエンジンに送信します。
メタディレクトリエンジンは、eDirectoryインタフェースと同期エンジンの2つのコンポーネントに分けられます。
メタディレクトリエンジンに組み込まれたeDirectoryインタフェースは、eDirectoryで発生するイベントを検出するために使用されます。このインタフェースは、イベントキャッシュを使用することで、Identity Managerに確実にイベントを送信できるようにしています。eDirectoryインタフェースは複数のドライバをロードできます。つまり、そのeDirectoryサーバ用に実行されているIdentity Managerのインスタンスは1つだけですが、複数の接続システムと通信できます。識別ボールトと接続システムの間でイベントループが発生しないように、このインタフェースにはループバック検出機能が組み込まれています。このインタフェースにはループバック保護機\'94\'5cが含まれていますが、個々の接続システムドライバにループバック検出機\'94\'5cを組み込むことをお勧めします。
同期エンジンは、Identity Managerポリシーを各イベントに適用します。ポリシーは、DirXMLスクリプトを使用してポリシービルダで作成します。ポリシービルダを使用すると、XMLドキュメントまたはXSLTで記述されたスタイルシートを使用する代わりに、GUIインタフェースを使ってポリシーを作成できます。スタイルシートも使用できますが、使いやすさではポリシービルダの方が優れています。ポリシービルダーまたはDirXMLスクリプトの詳細については、「 Identity Manager 3.5.1のポリシーの理解 」を参照してください。
同期エンジンは各タイプのポリシーをソースドキュメントに適用します。これらの変換を完了する機能は、Identity Managerの最も強力な機能の1つです。識別\'83\'7bールトと接続システムとの間で共有されるときに、データはリアルタイムで変換されます。
ドライバ設定は、Identity Managerに含まれる事前設定済みのXMLファイルです。これらの設定ファイルはiManagerおよびDesignerのウィザードを使用してインポートできます。
これらのドライバ設定にはサンプルポリシーが含まれます。これらは運用環境での使用を目的としたものではなく、ユーザが変更するテンプレートとして提供されています。
eDirectoryから生成されるすべてのイベントは、正常に処理されるまでイベントキャッシュに格納されています。これによって、接続不良、システムリ\'83\'5cースの損失、ドライバの入手不\'94\'5c、またはその他のネットワーク障害によってデータが失われないようにしています。
ドライバシムは、接続システムと識別ボールト間における情報のルートとして機能します。シムはJava*、C、またはC++で記述されます。
メタディレクトリエンジンとドライバシムの間の通信は、イベント、クエリ、および結果を記述するXMLドキュメントの形式で行われます。ドライバシムは一般的にはドライバと呼ばれます。これは、識別\'83\'7bールトと接続システムとの間で情報が転送されるルートです。
シムでサポートされているオブジェクトイベントは次のとおりです。
追加(作成)
変更
削除
リネーム
移動
クエリ
また、Identity Managerが接続システムを照会できるように、シムは定義済みクエリの機\'94\'5cをサポートしている必要があります。
識別\'83\'7bールトで、接続システムでアクションを引き起こすイベントが発生すると、Identity Managerは、その識別\'83\'7bールトイベントを記述するXMLドキュメントを作成し、加入者チャネルを介してドライバシムに送信します。
接続システムでイベントが発生すると、接続システムイベントを記述するXMLドキュメントがドライバシムによって生成されます。続いて、ドライバシムが発行者チャネルを使用してそのXMLドキュメントをIdentity Managerに送信します。Identity Managerは、発行者ポリシーを使用してイベントを処理した後、適切なアクションを実行するよう識別\'83\'7bールトに指示します。
ドライバセットは複数のIdentity Managerドライバを格納するコンテナオブジェクトです。一度に1つのドライバセットを1つのサーバに関連付けることができます。このため、実行中のドライバはすべて同じドライバセットにグループ化する必要があります。
ドライバセットオブジェクトは、そのオブジェクトを使用しているいずれかのサーバ上にある完全な読み書き可能レプリカに存在しなければならないため、ドライバセットをパーティションに分割することをお勧めします。これは、ユーザのレプリカが別のサーバに移動された場合に、ドライバオブジェクトが移動されないようにするためです。
次の\'90\'7dは、Designerでドライバセットがどのように\'95\'5c示されるのかを示します。
図 1-2 Designerでのドライバセット
次の\'90\'7dは、iManagerでドライバセットがどのように\'95\'5c示されるのかを示します。
図 1-3 iManagerでのドライバセット
DesignerのModeler (前の図 1-2)またはiManagerの概要ページ(前の図 1-3)から、以下を実行できます。
ドライバセットとそのプロパティを\'95\'5c示および変更する
ドライバセット内のドライバを\'95\'5c示する
ドライバのステータスを変更する
ドライバセットをサーバに関連付ける
ドライバを追加または削除する
ドライバセットの起動情報を\'95\'5c示する
ドライバセットのステータスログを\'95\'5c示する
ドライバオブジェクトは、識別ボールトと統合されている接続システムに接続されているドライバを表します。次のコンポーネントは、ドライバオブジェクトとその設定パラメータを\'8d\'5c成しています。
ドライバセットオブジェクトに含まれるeDirectoryツリーのドライバオブジェクト。
ドライバオブジェクトに含まれる加入者チャネルオブジェクト。
ドライバオブジェクトに含まれる発行者オブジェクト。
ドライバオブジェクト、加入者オブジェクト、および発行者オブジェクトによって参照される複数のポリシーオブジェクト。
ドライバオブジェクトによって参照される実行可\'94\'5cドライバシム。
管理者によって設定されるシム固有のパラメータ。
ドライバオブジェクトのeDirectoryパスワード。このパスワードをシムで使用して、シムのリモート部分を認証できます。
接続システムに接続し、認証するために使用する認証パラメータ。
エンタイトルメント。すべてのドライバに必要なものではありません。エンタイトルメントは、ドライバの作成時に有効にしたり、または後で追加したりできます。
次を含む、ドライバの起動オプション。
無効: ドライバは実行されません。
手動: ドライバはiManagerを介して手動で起動する必要があります。
自動起動: 識別ボールトが起動すると、ドライバが自動的に起動します。
Schema Mapping Policyの参照。
接続システムのスキーマをXML表現。これは通常、シムを介して接続システムから自動的に取得されます。
iManagerでは、[Identity Managerドライバの概要]ページにアクセスして、既存のドライバのパラメータ、ポリシー、スタイルシート、およびエンタイトルメントを変更できます。Identity Managerドライバの概要を次に示します。
図 1-4 Identity Managerドライバの概要
ドライバオブジェクトは、eDirectoryの権利の確認にも使用されます。ドライバオブジェクトには、読み込みまたは書き込みを行うオブジェクトに対して、必要なeDirectory権利を付与する必要があります。このためには、ドライバオブジェクトを、ドライバが同期化するeDirectoryオブジェクトのトラスティにするか、ドライバオブジェクトに同等セキュリティを付与します。
権利の割り当ての詳細については、『Novell eDirectory 8.8管理ガイド』の「eDirectoryでの権利」を参照してください。
Identity Managerドライバには、データを処理するための発行者チャネルと購読者チャネルの2つのチャネルが含まれています。発行者チャネルは、接続システムから識別ボールトにイベントを送信します。購読者チャネルは、識別ボールトから接続システムにイベントを送信します。各チャネルには、データの処理と変換の方法を定義する独自のポリシーが含まれています。
図 1-5 Designerの発行者チャネルおよび加入者チャネル
図 1-6 iManagerの発行者チャネルおよび加入者チャネル
Identity Managerのイベントとコマンドの違いは重要です。イベントがドライバに送信される場合、そのイベントはコマンドです。イベントがIdentity Managerに送信される場合、そのイベントは通知です。ドライバは、Identity Managerにイベント通知を送信する際に、接続システムで発生した変更をIdentity Managerに通知します。Metadirectoryエンジンは、設定可\'94\'5cなルールに基づいて、どのコ\'83\'7dンドを識別\'83\'7bールトに送信する必要があるかを決定します(コ\'83\'7dンドが必要な場合)。
Identity Managerは、ドライバにコ\'83\'7dンドを送信する場合、すでに識別\'83\'7bールトイベントを入力として受け付けて適切なポリシーを適用し、コ\'83\'7dンドが\'95\'5cす接続システム内の変更が必要であると判断しています。
ポリシーとフィルタによって、システム間のデータフローを制御できます。ポリシー内のルールを使用して、接続システムまたは接続元で使用するために、管理側の識別ボールトのクラス、属性、およびイベントをどのように変換するのかを定義します。ポリシーとフィルタの詳細については、「 Identity Manager 3.5.1のポリシーの理解 」を参照してください。
大部分の識別情報管理製品では、接続システムからディレクトリにオブジェクトをマップするために、接続システムに何らかの識別子を格納する必要があります。Identity Managerでは、接続システムを変更する必要はありません。識別ボールトの各オブジェクトには、識別ボールトブジェクトを接続システム内の一意の識別子にマップする関連付けテーブルが含まれています。このテーブルはリバースインデックス形式なので、接続システムは、識別\'83\'7bールトの更新時に識別\'83\'7bールト識別子(識別名など)をドライバに提供する必要がありません。
2つのオブジェクト間の関連付けは、識別ボールト内の別のオブジェクトとまだ関連付けられていないオブジェクトでイベントが発生したときに作成されます。関連付けを作成するためには、定義可能な条件の最低限のセットが各オブジェクトで一致している必要があります。たとえば、4つの属性のうち2つ(フルネーム、電話番号、従業員ID、電子メールアドレス)が90%以上一致する場合にオブジェクトを関連付けるルールを作成できます。
2つのオブジェクトが同じかどうかを判断するための条件は、一致ポリシーで定義します。変更されたオブジェクトに対して一致するオブジェクトが見つからない場合は、新しいオブジェクトが作成されます。このためには、最低限の作成条件すべてに一致していなければなりません。これらの条件はポリシーの作成によって定義されます。最後に、新しいオブジェクトをネーミング階層の中のどの位置に作成するかがPlacement Policy (配置ポリシー)によって定義されます。
関連付けは次の2つの方法で作成できます。
オブジェクト間の一致として
特定場所内のオブジェクトの新しい作成として
形成されたオブジェクト間の関連付けは、管理者がオブジェクトを作成するか、または関連付けを削除するまで有効です。
Identity Managerでは、関連付けとは、eDirectory内のオブジェクトを、接続システムに存在するオブジェクトと一致させることを指します。Identity Managerを初めてインストールしたときに、eDirectoryスキーマが拡張されます。この拡張には、すべてのeDirectoryオブジェクトのベースクラスに結び付けられた新しい属性が含まれます。この属性が関連付けテーブルです。関連付けテーブルは、eDirectoryオブジェクトがリンクされているすべての接続システムオブジェクトを追跡します。このテーブルは自動的に作成および維持されるため、この情報を手動で編集する必要はほとんどありません。
オブジェクト上の関連付け属性はiManagerで\'95\'5c示できます。
iManagerで、ツールバーの[
オブジェクトを参照して選択し、[
[Identity Manager]タブを選択します。
[Identity Manager]タブに関連付け属性が\'95\'5c示されます。