2.9 識別ボールトの構造

識別ボールトの構造は、ほとんどのIdentity Managerの展開に合うように定義されています。

図 2-4 識別ボールトの構造

図 2-4は、Identity Managerの識別ボールトの構造を表しています。この構造は主に、単一環境でのインストール向けに便利です。これは、小中規模のIdentity Managerの展開ではデフォルトの構造です。マルチテナント環境では、構造がわずかに異なる可能性があります。また、この方法では、大規模なツリーや分散型のツリーを整理できません。このタイプのツリー構造は、統合インストーラを使用して新しいツリーを作成する際に作成されます。

Identity Manager 4.0.1では、主に組織コンテナを使用するので、ユーザ、グループ、およびサービスの管理者は同じコンテナ内に配置されます。可能な限り組織を使用し、状況に適うのであれば組織単位を使用してください。Identity Manager 4.0.1構造は、次の3つの主要コンポーネントを使用することで拡張性を持つように設定されています。

2.9.1 セキュリティ

セキュリティコンテナとは、識別ボールトのインストール時に作成される特殊なコンテナです。これは、dc, o,またはouの代わりにcn=securityと指定されます。このコンテナは、識別ボールトのすべてのセキュリティオブジェクトを保持します。たとえば、認証局やパスワードのポリシーが含まれています。

2.9.2 データ

データコンテナは、グループ、ユーザ、役割管理者、デバイス、およびその他を保持します。このデータによってシステムが構成されます。グループ、ユーザ、およびサービス管理者(sa)コンテナは組織単位です。お客様の組織上の慣習に応じて、追加の組織単位を使用してデータを構造化できます。

ou=sa

サービス管理者(ou=sa)コンテナは、ユーザアプリケーション管理者のオブジェクトとサービス管理者アカウントをすべて保持しています。

2.9.3 システム

システムコンテナは、1つの組織です。これは、o=systemと指定されます。このコンテナは、識別ボールトおよびIdentity Managerシステム用の技術情報および環境設定情報のすべてを保持しています。システムコンテナは、主に次の4つのサブコンテナを保持しています。

  • サービス管理者またはサービス管理者ユーザ/スーパーユーザ/サービスアカウント

  • サーバ

  • ドライバセット

  • サービス

ou=sa

サービス管理者コンテナは、識別ボールトとドライバの管理オブジェクトを保持します。管理者ユーザのみがシステムのサブツリーにアクセスできます。識別ボールトのデフォルト管理者はadmin.sa.systemです。

サーバ

サーバオブジェクトには、関連するさまざまなオブジェクトが存在し、それらのオブジェクトはサーバオブジェクトと同じコンテナ内に存在する必要があります。ツリーに追加されるサーバの数が増えると、それらのオブジェクトをすべてスクロールするのが非常に煩雑になる場合があります。

サーバオブジェクトはすべてservers.systemコンテナの下に含める必要があります。ただし管理者は、環境内で展開されたサーバごとに個別のサーバコンテナを作成することができます。コンテナの名前は、サーバオブジェクトの名前になります。サーバに関連付けられているすべてのオブジェクト(ボリューム、ライセンス、証明書)が同じ場所に収まり、必要なオブジェクトを容易に検索できるようになります。

この構造は、スケーラビリティを念頭に置いて設計されており、10サーバまたは100サーバに拡張しても、単一のサーバに関連付けられたオブジェクトを容易に見つけることができます。

ドライバセット

ドライバセットは、メタディレクトリサーバの環境設定中に別のパーティションとして作成されます。すべてのドライバセットオブジェクトは、システムコンテナに格納されています。Identity Manager 4.0.1システムでは、複数のドライバセットを使用できます。この構造は、システムコンテナにさらにドライバセットを追加してスケールアップすることを可能にします。iManagerの役割ベースのサービスもシステムコンテナに格納されています。