この節では、Identity Managerの実装における計画およびプロジェクト管理上の高レベルな側面の概要について説明します(技術面については、Identity Manager実装の技術面の計画を参照してください)。
この計画用ドキュメントには、通常はIdentity Managerプロジェクトの開始から完全な運用環境への展開までに行われるアクティビティのタイプが記載されています。識別情報管理戦略を実装するには、現在の環境におけるニーズと利害関係者を特定し、ソリューションを設計し、利害関係者の参画を得て、ソリューションをテストして導入する必要があります。この節は、このプロセスに関する十分な情報を読者に提供して、Identity Managerを使用することで最大限の利点が得られるようにすることを目的としています。
ソリューション展開の各フェーズを支援するために、Identity Managerのエキスパートを参加させることを強くお勧めします。パートナーシップのオプションの詳細については、Novell(R) NsureTM ソリューションパートナーのWebサイトを参照してください。Novell Educationでは、Identity Managerの実装に対応したコースも提供しています。
この節はすべての情報を網羅するものではありません。また、考えられる設定すべてを取り上げているわけではなく、その実行に限定したものでもありません。環境はそれぞれ異なるため、使用するアクティビティのタイプに応じた柔軟性が求められます。
Identity Managerの展開時のベストプラクティスとしてお勧めするアクティビティはいくつかあります。
Identity Managerの実装は検出プロセスから開始でき、この検出プロセスによって次のことが可能になります。
検出プロセスにより、すべての利害関係者が問題とソリューションに関して共通の理解を得ることができます。分析フェーズでは、利害関係者がディレクトリ、Novell eDirectoryTM、Novell Nsure Identity Manager、およびXML統合の基本知識を持っている必要があります。検出プロセスは、この分析フェーズに対する優れた手引きとなります。
検出により、次のような直後の手順も特定されます。
この分析フェーズでは、プロジェクトの技術的側面とビジネス的側面の両方を詳細に捉え、データモデルと高レベルなIdentity Managerアーキテクチャ設計を生成します。このアクティビティは、ソリューションを実装する最初の重要な手順です。
設計の焦点は特に識別情報管理に置きますが、ファイルや印刷など、従来はリソース管理ディレクトリに関連付けられていたさまざまな要素に焦点を置くこともできます。次に、評価できる項目のサンプルを示します。
要件の分析が完了したら、実装の範囲とプロジェクト計画を設定し、前提条件アクティビティが必要かどうかを判断できます。大きなミスを防ぐために、情報の収集と要件の文書化をできるだけ徹底的に行ってください。
要件評価中に次のタスクを完了できます。
組織のビジネスプロセスと、これらのビジネスプロセスを定義する要件を収集します。
たとえば、従業員の退職に関するビジネス要件は、従業員のネットワークと電子メールアクセスを従業員の退職当日に削除するというものです。
次のタスクはビジネス要件の定義に役立ちます。
たとえば、あるプロセスで何かが発生した場合、そのプロセスが原因で何が発生しますか? その他のどのようなプロセスがトリガされますか?
特定の値を変更する場合、その値に対する従属関係があるかどうかを理解することが重要です。特定のプロセスを変更する場合は、そのプロセスに対する従属関係があるかどうかを理解することが重要です。
たとえば、人事システムで「臨時採用」という従業員ステータス値を選択した場合、IT部門では、制限付き権利を持ち特定の時間帯にネットワークにアクセスできるユーザオブジェクトをeDirectory内に作成しなければならないことがあります。
すべての関係者のすべての要件、要求、および希望をすぐに満たすことができるとは限りません。プロビジョニングシステムの設計と展開の優先度は、ロードマップの計画に役立ちます。
展開を複数のフェーズに分割すると、展開の一部分は前倒しで実装し、その他の部分は後で実装することもできるため、効果的な場合があります。
展開の特定フェーズの実装に必要な前提条件を文書化する必要があります。
システム管理者やマネージャが自身に属すると考えている情報を早い段階で把握しておくと、すべての関係者から参画を得て維持するのに役立ちます。
たとえば、アカウント管理者には、特定のファイルとディレクトリに対する権利を従業員に付与する権利が必要となります。これは、アカウントシステムにローカルなトラスティ割り当てを実装することによって対応できます。
多くの場合、ビジネスプロセスの分析は、マネージャ、管理者、従業員など、アプリケーションやシステムを実際に使用する個々の人物と話し合うことから始まります。対処するべき主な課題は次のとおりです。
たとえば、人事部のPeopleSoftシステムの管理者には次のような質問を尋ねることができます。
重要な人々へのインタビューによって、組織のどの部門であればプロセスの全体像を明確化できるかがわかります。
ビジネスプロセスを定義したら、現在のビジネスプロセスを反映したデータモデルの設計を開始できます。
このモデルには、データがどこで生成され、どこに送られるか、およびデータを移動できない場所を示す必要があります。また、重要なイベントがデータフローにどのように影響するかを考慮する必要もあります。
提案されたビジネスプロセスと、そのプロセスに自動プロビジョニングを実装することの利点を示した図を作成することもできます。
このモデルの開発は次のような質問に答えることから始めます。
システム間のさまざまな値の相関関係を考慮することも重要です。
たとえば、PeopleSoftの「従業員ステータス」フィールドには、「従業員」、「契約社員」、および「研修社員」の3つの設定値があります。しかし、Active Directoryシステムには、「正社員」と「アルバイト」の2つの値しかありません。この状況では、PeopleSoftの「契約」ステータスと、Active Directoryの「正社員」と「アルバイト」の値の関係を決定する必要があります。
この作業の焦点は、各ディレクトリシステムとこれらの相関関係、およびどのオブジェクトと属性をシステム間で同期化する必要があるかを理解することです。
このアクティビティの成果とは、会社のビジネスポリシーとデータフローが反映された研究室環境にサンプル実装を実現することです。これは、要件分析と設計の際に作成されるデータモデルの設計に基づいており、運用試験前の最終手順です。
注: 多くの場合、この手順は、経営陣から最終的な実装作業のためのサポートと資金を得るために有益です。
運用システムのデータは、品質と整合性にばらつきがある可能性があるため、システムを同期化すると不整合を生じることがあります。このフェーズは、Nsure Resourcesの実装チームと、統合されるシステム内のデータを「所有」または管理する業務単位またはグループを明確に分離するポイントになります。場合によっては、関連付けられているリスクとコストの要因は、プロビジョニングプロジェクトには属さないことがあります。
このアクティビティの目的は、運用環境への移行を開始することです。このフェーズ中に、追加のカスタマイズが必要になることがあります。この限定的な導入では、前のアクティビティが目的どおりの成果を達成しているかどうかを確認し、運用投入のための同意を得ることができます。
注: このフェーズは、ソリューションの受け入れ基準、または本格運用までに必要なマイルストーン、あるいはその両方になる場合があります。