Novell Doc: Identity Manager 3.5.1インストールガイド - 一般的なインストールシナリオの計画

2.2 一般的なインストールシナリオの計画

次に示すシナリオは、Identity Managerを使用可能な環境の例です。各シナリオでは、実装に役立ついくつかのガイドラインが示されます。

2.2.1 Identity Managerの新しいインストール

図 2-1 新しいインストール

Identity Managerは、識別ボールトを活用して、アプリケーション、データベース、およびディレクトリ間における情報を自動的に同期、変換、および分散するデータ共有ソリューションです。

Identity Managerソリューションには、次のコンポーネントが含まれています。

識別ボールトとIdentity Manager

識別ボールトには、他の接続システムと共有または同期するユーザデータやオブジェクトデータが含まれています。Identity Managerは、独自のeDirectory™インスタンスにインストールして、専用の識別ボールトとして使用することをお勧めします。

iManagerサーバとIdentity Managerプラグイン

Identity Managerソリューションを管理するには、Novell iManagerプラグインとIdentity Managerプラグインを使用します。

接続システム

接続システムには、識別ボールトとデータを共有または同期する他のアプリケーション、ディレクトリ、およびデータベースを共存させることができます。識別ボールトから接続システムへの接続を確立するには、その接続システムに適したドライバをインストールします。具体的な手順については、「ドライバ実装ガイド」を参照してください。

Identity Managerの一般的なタスク

システムコンポーネントのインストール: Identity Managerソリューションは複数のコンピュータ、サーバ、またはプラットフォームに分散して使用する可能性があるため、システムごとにインストールプログラムを実行して、適切なコンポーネントをインストールする必要があります。詳細については、セクション 1.4, Identity Managerのインストールプログラムおよびサービスを参照してください。
接続システムの設定: 具体的な手順については、セクション 1.4, Identity Managerのインストールプログラムおよびサービスおよび「ドライバ実装ガイド」を参照してください。
ソリューションを有効にする: Identity Manager製品(professional edition、Server Edition、統合モジュール、およびユーザアプリケーション)は、インストールから90日以内にアクティベーションを行う必要があります。詳細については、セクション 6.0, Novell Identity Manager製品を有効にするを参照してください。
ビジネスポリシーの定義: ビジネスポリシーでは、識別ボールトでやり取りする情報のフローを特定の環境に合わせてカスタマイズできます。また、ポリシーは、新しいオブジェクトの作成、属性値の更新、スキーマ変換の実行、一致条件の定義、Identity Managerの関連付けの維持など、多くのタスクを実行します。ポリシーの詳しいガイドは、『Policies in iManager for Identity Manager 3.5.1』に含まれています。
パスワードの管理の設定: パスワードポリシーを使用することで、ユーザのパスワード作成方法を規定し、セキュリティを向上できます。ユーザ自身でパスワード忘れや、パスワードリセットに対処できるセルフサービスオプションを付加することにより、ヘルプデスクの運用コストの削減にもつながります。パスワード管理の詳しい情報については、『Managing Passwords by Using Password Policies』を参照してください。
エンタイトルメントの設定: エンタイトルメントの定義により、接続システムのエンタイトルメントを、識別ボールト内のユーザの定義済みグループに付与できます。エンタイトルメントポリシーを使用すると、ビジネスポリシーの管理を合理化できるため、Identiry Managerドライバを設定する必要性が軽減されます。詳細については、『Novell Identity Manager 3.5.1管理ガイド』の「エンタイトルメントの作成と使用」を参照してください。
Novell Auditを使用したイベントのログ: Identity Managerは、監査とレポーティングにNovell Auditを使用するように設計されています。Novell Auditには、監査、ログ、レポート、および通知などの機能を実現する技術が集約されています。Identity Managerでは、Novell Auditと統合することで、ドライバとエンジンのアクティビティに関する現在と過去の状態の詳細な情報を供給します。この情報は、設定済みのレポート、標準の通知サービス、およびユーザ定義ログなどの一連の機能により提供されます。『Identity Manager 3.5.1 Logging and Reporting』の「Using Status Logs」を参照してください。
ワークフローの承認とユーザアプリケーション: Novell Identity Managerユーザアプリケーションは、洗練された識別サービスフレームワークにより直感的で高度な設定や管理が行える、多機能で強力なWebアプリケーション(およびサポートツール)です。Provisioning Module for Identity ManagerおよびNovell Auditと組み合わせて使用すると、Identity Managerユーザアプリケーションは安全でスケーラブル、また容易に管理できる総合的なエンドツーエンドのプロビジョニングソリューションになります。ユーザアプリケーションのドキュメントを参照してください。

2.2.2 同じ環境でのIdentity ManagerおよびDirXML 1.1aの使用

図 2-2 DirXML 1.1aと同じツリーへのIdentity Managerのインストール

Identity ManagerとDirXML® 1.1aの両方を同じ環境で実行している場合、次の点を考慮してください。

識別ボールトの作成

Identity Managerは、別個のeDirectoryインスタンスにインストールし、専用の識別ボールトとして使用することをお勧めします。

管理ツール

ConsoleOne®はDirXML 1.1aではサポートされますが、Identity Managerではサポートされません。
2つのiManagerサーバ(DirXML 1.1aプラグインとIdentity Managerプラグインにそれぞれのサーバ)が必要になります。これは、プラグインの機能が拡張されていること、Identity ManagerではDirXMLスクリプトが使用されていることに起因します。
DirXML 1.1aのiManagerプラグインは、ほとんどのIdentity Managerドライバの定義済みドライバ環境設定で使用されるDirXMLスクリプトを読み込めません。
Designerは、Identity Managerドライバの設計、テスト、更新、およびドキュメント化を行うことができるツールです。

後方互換性

DirXML 1.1aドライバシムおよび環境設定はIdentity Managerサーバで実行でき、iManagerのドライバはドライバセットの［Identity Managerの概要］で表示できます。ただし、Identity Managerプラグインを使用する場合、ドライバをIdentity Manager形式に変換せずにドライバ環境設定を表示および編集することはできません。

Identity Managerプラグインでは、1.1a形式のドライバをクリックすると、変換を実行するかどうかを確認するメッセージが表示されます。これは、ウィザードで簡単に実行でき、ドライバ環境設定の機能には影響しません。処理の一部として、DirXML 1.1aバージョンのバックアップコピーが保存されます。
DirXML 1.1aドライバのアクティベーションは、Identity Managerエンジンとともに実行している場合でも有効です。ただし、ドライバシムをIdentity Managerバージョンにアップグレードした場合は、新しいアクティベーションキーを入手する必要があります。詳細については、セクション 6.0, Novell Identity Manager製品を有効にするを参照してください。
ほとんどの場合、Identity ManagerドライバシムをDirXML 1.1a環境設定で実行することはできません。アップグレード情報については、それぞれのドライバ実装ガイドで参照してください。

重要な例外として、ドライバシムをアップグレードすると、他のドライバポリシーを追加しない限りPassword Synchronization 1.0がWindows ADおよびNTで正しく動作しなくなります。方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドにあるパスワード同期に関する節を参照してください。
Identity Managerドライバシムとドライバ設定をDirXML 1.1aエンジンで実行することはできません。
Identity Managerドライバ環境設定をDirXML 1.1aドライバシムで実行することはできません。
同じIdentity Managerドライバ環境設定を複数のサーバで実行する場合、すべてのサーバで同じバージョンのIdentity Managerと同じバージョンのeDirectoryが実行されていることを確認してください。

パスワード管理

強力なパスワードを要求する高度なパスワードルールや、［パスワードを忘れた場合］セルフサービスおよび［パスワードのリセット］セルフサービスなどの機能を有効にするパスワードポリシーを作成できます。『Password Management 3.1 Guide』の「Managing Password Synchronization」を参照してください。
Netware 6.5®の初期リリースでユニバーサルパスワードの使用を開始した場合、新しいパスワードポリシー機能を使用するにはいくつかのアップグレード手順を実行する必要があります。『Password Management 3.1 Guide』の「(NetWare 6.5 only) Deploying Universal Password」を参照してください。NetWare 6.5 SP2でユニバーサルパスワードの使用を開始した場合は、これらの手順は必要ありません。
Identity Managerのパスワード同期では、双方向パスワード同期を使用でき、Password Synchronization 1.0より多くのプラットフォームがサポートされます。
Windows ADまたはNTでPassword synchronization 1.0を使用している場合は、新しいドライバシムをインストールする前に必ずアップグレード手順を確認してください。詳細については、セクション 2.2.4, Password Synchronization 1.0からIdentity Managerのパスワード同期へのアップグレードを参照してください。
ドライバポリシーの「オーバーレイ」は、双方向パスワード同期機能を既存のドライバに追加するのに役立ちます。『Novell Identity Manager 3.5.1管理ガイド』の「パスワード同期をサポートするための、既存のドライバ設定のアップグレード」を参照してください。

2.2.3 スターターパックからIdentity Managerへのアップグレード

図 2-3 スターターパックからIdentity Managerへのアップグレード

他のNovell製品に含まれているIdentity Managerスターターパックソリューションにより、NTドメイン、Active Directory、およびeDirectoryに保持されている情報をライセンスに従って同期することが可能になります。 PeopleSoft、GroupWise®、およびLotus Notesなどの、他のいくつかのシステム用の評価版ドライバも、他のシステムのデータ同期を参照するために含まれています。

さらに、このソリューションによりユーザパスワードの同期が可能になります。PasswordSyncを使用すると、ユーザはこうしたシステムにログインするのに、複数のパスワードを使い分ける必要がなくなります。管理者は、選択したそれぞれのシステムでパスワードを管理できます。これらの環境のいずれかでパスワードが変更されても、すべての環境で更新されます。

NetWare 6.5およびNterprise™ Linux Services 1.0に同梱されているIdentity Managerスターターパックは、DirXML 1.1a技術を基にしています。スターターパックから最新バージョンのIdentity Managerにアップグレードするときは、次の点に注意してください。

後方互換性

DirXML 1.1aドライバシムおよび環境設定はIdentity Managerサーバで実行でき、iManagerのドライバはドライバセットの［Identity Managerの概要］で表示できます。ただし、Identity Managerプラグインを使用する場合、ドライバをIdentity Manager形式に変換せずにドライバ環境設定を表示および編集することはできません。

Identity Managerプラグインでは、1.1a形式のドライバをクリックすると、変換を実行するかどうかを確認するメッセージが表示されます。これは、ウィザードで簡単に実行でき、ドライバ環境設定の機能には影響しません。処理の一部として、DirXML 1.1aバージョンのバックアップコピーが保存されます。
DirXML 1.1aドライバのアクティベーションは、Identity Managerエンジンとともに実行している場合でも有効です。ただし、ドライバシムをIdentity Managerバージョンにアップグレードした場合は、新しいアクティベーションが必要です。
ほとんどの場合、Identity ManagerドライバシムをDirXML 1.1a環境設定で実行することはできません。アップグレード情報については、それぞれのドライバ実装ガイドで参照してください。

重要な例外として、ドライバシムをアップグレードすると、他のドライバポリシーを追加しない限りPassword Synchronization 1.0がWindows ADおよびNTで正しく動作しなくなります。方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドにあるパスワード同期に関する節を参照してください。
Identity Managerドライバシムとドライバ設定をDirXML 1.1aエンジンで実行することはできません。
Identity Managerドライバ環境設定をDirXML 1.1aドライバシムで実行することはできません。
同じIdentity Managerドライバ環境設定を複数のサーバで実行する場合、すべてのサーバで同じバージョンのIdentity Managerと同じバージョンのeDirectoryが実行されていることを確認してください。

パスワード管理

ドライバシムをアップグレードすると、他のドライバポリシーを追加しない限り、スターターパック(DirXML 1.1a)に同梱されているPassword Synchronization 1.0がADおよびNTで正しく動作しません。方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドにあるパスワード同期に関する節を参照してください。
このアップグレード処理に関する具体的な手順については、セクション 2.2.4, Password Synchronization 1.0からIdentity Managerのパスワード同期へのアップグレードを参照してください。

アクティベーション

すべてのIdentity Manager製品は、90日以内にアクティベートする必要があります。他のNovellソフトウェアを購入した場合、DirXMLスターターパックには、DirXML 1.1aエンジンと、NT、AD、およびeDirectoryドライバのアクティベーションキーが含まれています。Identity Managerスターターパックからアップグレードする場合は、それらのドライバに対し、アクティベーションキーを再適用しなければならない場合があります。

アクティベーションの詳細については、セクション 6.0, Novell Identity Manager製品を有効にするを参照してください。

2.2.4 Password Synchronization 1.0からIdentity Managerのパスワード同期へのアップグレード

図 2-4 Password Synchronization 1.0からIdentity Managerのパスワード同期へのアップグレード

Identity Managerのパスワード同期には、双方向パスワード同期、追加のプラットフォーム、およびパスワード同期に失敗した場合の電子メール通知など、多くの機能が備わっています。

Active DirectoryまたはNTドメインでPassword Synchronization 1.0を使用している場合、新しいドライバシムをインストールする前に必ずアップグレード手順を確認してください。

Identity Manager 2.xをPassword Synchronization 2.0とともに実行している場合は、それらの手順に従う必要はありません。

Identity Managerのパスワード同期の概要については、『Novell Identity Manager 3.5.1管理ガイド』の「接続システム間のパスワード同期」を参照してください。その節には、旧機能と新機能の比較、必要条件、各接続システムでサポートされる機能のリスト、既存のドライバにサポートを追加する方法、新機能の使用方法を示すいくつかのシナリオなど、概念的な情報が含まれています。

この節では、次の項目について説明します。

Active DirectoryまたはWindows NT用のパスワード同期のアップグレード

新しいパスワード同期機能は、別個のエージェントではなく、ドライバポリシーにより制御されます。これは、同時にドライバ環境設定をアップグレードせずに新しいドライバシムをインストールした場合、Password Synchronization 1.0が既存のユーザに対してのみ機能し続けることを意味しています。新しいユーザ、移動したユーザ、または名前を変更したユーザは、ドライバ環境設定のアップグレードが完了するまでパスワード同期の対象にはなりません。

アップグレードするには、次の全体的な手順に従います。

環境をアップグレードして、ユニバーサルパスワードがサポートされるようにします。Novell Client™を使用している場合は、これをアップグレードすることも含まれます。
Identity Manager 3.5.1ドライバシムをインストールして、Active DirectoryまたはWindows NTのDirXML 1.1aドライバシムと置き換えます。
ドライバ環境設定にただちに新しいポリシーを追加することで、Password Synchronization 1.0との後方互換性を維持します。

この手順により、Identity Managerのパスワード同期に切り替えるまで、Password Synchronization 1.0が正常に機能し続けます。
ドライバポリシーを使用して、Identity Managerの新しいパスワード同期機能のサポートを追加します。
新しいパスワード同期フィルタをインストールして設定します。
必要に応じてSSLを設定します。
必要に応じて、パスワードポリシーを使用してユニバーサルパスワードをオンにします。
使用するIdentity Managerのパスワード同期シナリオを設定します。

『Novell Identity Manager 3.5.1管理ガイド』の「パスワード同期の実装」を参照してください。
Password Synchronization 1.0を削除します。

詳細な方法については、Active DirectoryおよびNTドメイン用Identity Managerドライバのドライバ実装ガイドを参照してください。

eDirectoryのパスワード同期のアップグレード

eDirectoryの場合のアップグレードは比較的容易で、ドライバシムおよび環境設定に最新のパッチが適用されていれば、通常は、既存のDirXML 1.1aドライバ環境設定を変更しなくてもドライバシムは機能するようになっています。方法については、『eDirectory用のIdentity Manager3.5.1ドライバ: 実装ガイド』を参照してください。

他の接続システムドライバのアップグレード

Identity Managerのパスワード同期では、Password Synchronization 1.0より多くの接続システムがサポートされます。

他のシステムでサポートされる機能のリストについては、『Novell Identity Manager 3.5.1管理ガイド』の「パスワード同期をサポートする接続システム」を参照してください。

ドライバポリシーの「オーバーレイ」は、双方向パスワード同期機能を、以前はサポートされていなかった接続システムの既存のドライバに追加するのに役立ちます。『Novell Identity Manager 3.5.1管理ガイド』の「パスワード同期をサポートするための、既存のドライバ設定のアップグレード」を参照してください。

機密情報の処理

ユニバーサルパスワードは、eDirectory内で4段階の暗号化を施して保護されているため、その環境内では非常に安全です。双方向パスワード同期を使用していて、ユニバーサルパスワードを配布パスワードと同期する場合は、eDirectoryパスワードを抽出して他の接続システムにそれを送信しているという点に注意しなければなりません。パスワードの転送手段だけではなく、パスワードを同期する接続システムも保護する必要があります。

パスワードの他に、Novell SecretStore®とNovell SecureLoginを使用して資格情報を同期することもできます。これらによって、否認防止が必要な環境でSecureLoginパスフレーズの質問と回答をプロビジョニングできます。『Novell Identity Manager3.5.1管理ガイド』の「セキュリティ: ベストプラクティス」を参照してください。