Role-Based Entitlement (役割ベースのエンタイトルメント)により、現在の環境でだれにエンタイトルメントを付与するかというビジネスポリシーを定義できます。Entitlement Policy (エンタイトルメントポリシー) (強化されたeDirectoryダイナミックグループ)の使用により、「テスタ」という役職名など、ダイナミックな検索条件に基づき、エンタイトルメントをどのユーザに付与するかを定義します。ポリシーに対してスタティックな包含および除外のリストを使用して、例外を管理できます。
ポリシーを適用するユーザを定義したら、接続システムでそのユーザに付与するエンタイトルメントを指定します。ダイナミックグループに対してと同様、eDirectoryでの権利を付与することもできます。
接続システムのエンタイトルメントは、Role-Based Entitlement (役割ベースのエンタイトルメント)をサポートするよう設定されたDirXMLドライバにより付与されます。
このビジネスポリシー管理モデルは、DirXMLドライバ設定からビジネスポリシーアップストリームを指定する点で、Identity Managerによる従来型のプロビジョニング方法とは異なります。
従来型では、接続システムのエンタイトルメントはドライバごとに管理され、その方法は、Policy Builderで作成するポリシーのようなドライバ設定ポリシーの作成と編集に限られています。この従来型の分散モデルでは、別の管理者が各DirXMLドライバと接続システムを管理することがほとんどで、システムのリソースをユーザが利用できるかどうかを決定するビジネスポリシーは、各接続システムドライバのドライバ設定ポリシーで別々に「ハードコード」されます。
Role-Based Entitlement (役割ベースのエンタイトルメント)モデルは、1人または少数の管理者がビジネスポリシーを制御する権限を持つ環境に適しています。このような管理者は、Identity Manager全体を理解している必要がありますが、Role-Based Entitlementインタフェースを使用するためにIdentity ManagerまたはXSLTに関する十分な専門知識はなくてもかまいません。
Role-Based Entitlement (役割ベースのエンタイトルメント)と従来型のIdentity Manager管理のもう1つの相違点は、Entitlement Policy (エンタイトルメントポリシー)は運用環境で直接変更できることです。従来型では、ドライバ設定の変更は、まず研究室環境でテストされます。Entitlement Policy (エンタイトルメントポリシー)ではビジネスポリシーの変更が簡単になりますが、運用環境での変更は十分に注意して行う必要があります(詳細については、アカウントの安全の保持を参照してください)。
違いをよく理解するために、次のシナリオを考えてみます。
次の2つの付与により、新しい従業員に「テスタ」という役職名を自動的にプロビジョニングすることを想定します。
従来型 - 従来型モデルを使用する場合、Identity Managerの開発者はPolicy Builderまたはスタイルシートを使用し、ドライバ設定のビジネスポリシーをJDBC用のDirXMLドライバおよびGroupWise用のDirXMLドライバに「ハードコード」します。
Role-Based Entitlement (役割ベースのエンタイトルメント) - この例では、Role-Based Entitlement (役割ベースのエンタイトルメント)を使用して、Entitlement Policy (エンタイトルメントポリシー)を作成し、「テスタ」という役職名のダイナミックメンバーシップを定義します。Identity Managerの開発者は、JDBC用のDirXMLドライバおよびGroupWise用のDirXMLドライバを、Role-Based Entitlement (役割ベースのエンタイトルメント)をサポートするよう設定する必要もあります。ダイナミックメンバーシップ条件に合致したユーザには、ドライバによってアカウントが付与されます。
この例では、ここまでは結果は同じです。どちらの方法を使用しても、「テスタ」という役職名のユーザに対してアカウントが自動的に付与されます。
ただし、Role-Based Entitlement (役割ベースのエンタイトルメント)を使用する場合の方が、このビジネスポリシーを変更する際に必要なIdentity Managerの専門知識が少なくて済みます。
ビジネスポリシーの設定後、「テストマネージャ」という役職名のユーザにも同じ種類のアカウントを付与する必要があるとわかったと想定します。
従来型 - 従来型モデルを使用する場合、Identity Managerの開発者はPolicy Builderを使用し、ビジネスポリシーに次の2つの変更を「ハードコード」します。
Role-Based Entitlement (役割ベースのエンタイトルメント) - Role-Based Entitlement (役割ベースのエンタイトルメント)モデルを使用する場合、LDAPフィルタの知識を持つネットワーク管理者であれば、Entitlement Policy (エンタイトルメントポリシー)のダイナミックメンバーシップに追加のユーザ条件を簡単に追加できます。DirXML Scriptを編集する必要はありません。JDBCドライバおよびGroupWiseドライバにより、ドライバ設定を変更せずに、正しいユーザにアカウントが付与されます。