概要

Entitlement Policy (エンタイトルメントポリシー)を作成する場合、特定のユーザに影響を与えるポリシーがそのユーザへのエンタイトルメントの割り当てと衝突する可能性があります。

このような衝突の解決方法を、次に説明します。一部のエンタイトルメントについては、衝突の解決を変更できます。

• 値のないエンタイトルメントが付加された場合 - ほとんどの場合、アカウントは、値のないエンタイトルメントです。ユーザが接続システムでのアカウントをEntitlement Policy (エンタイトルメントポリシー)により付与される場合、ユーザはシステム上でアカウントを受け取ります。別のEntitlement Policy (エンタイトルメントポリシー)が衝突するかどうかは関係なく、結果が付加されます。

  これは常に正しく、アカウント付与についての衝突の解決方法は変更できません。

  値のないエンタイトルメントは、照明のスイッチに例えることができます。「オン」または「オフ」、付与されたか付与されないかです。

  たとえば、「マネージャエンタイトルメントポリシー」によってJean Chandler氏にExchangeアカウントが付与されるにもかかわらず、Jean Chandler氏が、同様にExchangeアカウントを付与する「メールルーム従業員エンタイトルメントポリシー」からは除外されている場合、Jean氏はExchangeアカウントを取得できます。

• 値のあるエンタイトルメントがデフォルトで付加されるが、優先度に従って解決するよう選択できる場合 - これらは、グループメンバーシップなどのエンタイトルメントと、値、または値のある属性のグループ名のリストです。デフォルトでは、この種類のエンタイトルメントも付加できます。

  必要に応じて、この種類のエンタイトルメントの衝突の解決を変更できます。

  各エンタイトルメントタイプの衝突の解決を制御する設定は、ドライバのドライバマニフェストにあります。ドライバが提供する各種類のエンタイトルメントは、マニフェストに別々に記述されます。値のあるエンタイトルメントは、conflict-resolution属性を持ちます。conflict-resolution属性は、エンタイトルメントごとに別々に設定されます。デフォルトの設定は、conflict-resolution="union"です。他に設定できる値は、conflict-resolution="priority"です。

  • conflict-resolution="union" --- 「union」という値は、エンタイトルメントが付加できることを意味します。ユーザには、ポリシーのメンバーシップにより割り当てられているすべてのエンタイトルメントが付与されます。異なるエンタイトルメント値は単に追加され、ユーザはそれらすべてを取得します。

    たとえば、Jameel氏が、「トレードショーメーリングリスト」というGroupWiseの電子メール配布リストのメンバーシップを付与する「トレードショーコントラクタポリシー」のメンバーであり、「トレードショーメーリングリスト」という電子メール配布リストも割り当てる「トレードショーマネージャポリシー」のメンバーシップから除外されている場合でも、電子メール配布リストのメンバーシップが引き続き付与されます。

    別の例を挙げると、「メールルームポリシー」により、「メールルームスタッフ」というActive DirectoryグループのメンバーシップがConsuela氏に付与され、「緊急ボランティアによる緊急対応ポリシー」というActive Directoryグループのメンバーシップも付与されている場合、Consuela氏には両方のActive Directoryグループのメンバーシップが付与されます。

    この設定では、ポリシーのリスト内のEntitlement Policy (エンタイトルメントポリシー)の順序は、エンタイトルメントについては重要ではありません。

  • conflict-resolution="priority" --- 反対に、「priority」という値は、2つの異なるポリシー間の値が衝突した場合、または1つのポリシーに含まれるユーザが別のポリシーでは除外されている場合、そのユーザに付与されるエンタイトルメントは、Entitlement Policy (エンタイトルメントポリシー)のリストでより上位に記述されているEntitlement Policy (エンタイトルメントポリシー)のエンタイトルメントのみになることを意味します。

    前の例は、この設定では別の結果となります。

    前のJameel氏の例では、GroupWiseの電子メール配布リストのエンタイトルメントが「priority」という値を持ち、「トレードショーマネージャポリシー」が「トレードショーコントラクタポリシー」より上位にリスト表示される場合、「トレードショーメーリングリスト」のメンバーシップは、Jameel氏に付与されません。

    前のConsuela氏の例では、Active Directory NOSグループメンバーシップのエンタイトルメントが「priority」という値を持ち、「メールルームポリシー」が「緊急ボランティアポリシー」より上位にある場合、Consuela氏にはメールルームスタッフグループのメンバーシップのみが付与されます。衝突の解決が付加ではなく優先度によって設定されているため、緊急対応グループのメンバーシップは付与されません。

    たとえば、Role-Based Entitlement (役割ベースのエンタイトルメント)を使用して別のシステムでは階層構造にユーザを配置するよう環境を設定した場合などは、この機能が役立ちます。ユーザは任意の1ヶ所に配置でき、同時に2ヶ所に配置することはできません。

    設定は、ドライバごとに提供される各エンタイトルメントとは関係ありません。

    原則として、「priority」の設定を使用する場合、管理者またはマネージャのポリシーは、エンドユーザまたは各貢献者のポリシーより上位に配置する必要があります。広いメンバーシップを持つグループは、狭いメンバーシップを持つグループより上位に配置することをお勧めします。

各エンタイトルメントの衝突の解決方法の変更

1. iManagerで、［DirXML Management］>［Overview］の順にクリックし、ドライバセットを選択します。

   ドライバセットに含まれるすべてのドライバのグラフィック画面のページが表示されます。

2. ドライバを停止します。

3. 変更するエンタイトルメントを提供するドライバのドライバアイコンをクリックします。

   ドライバのポリシーおよびドライバのアイコンを示すページが表示されます。

4. ドライバアイコンをクリックし、ドライバのパラメータのページを開きます。

5. ［Driver Manifest］をクリックします。

   ドライバマニフェストがXMLで表示されますが、編集可能モードではないので淡色表示されます。

6. ［Enable XML editing］チェックボックスをオンにします。

7. XMLで、変更するエンタイトルメントの定義を検索します。

   たとえば、次の行を検索します。

   <entitlement conflict-resolution="union" description="Grants membership to GroupWise Distribution lists" display-name="GroupWise Distribution Lists" name="gwDistLists">

8. conflict-resolutionの値を変更します。次の2つの値を指定できます。

   conflict-resolution="union" 

   conflict-resolution="priority" 

   これらの値の詳細については、Entitlement Policy (エンタイトルメントポリシー)間の衝突の解決を参照してください。

9. エンタイトルメントサービスドライバを再起動します。

Entitlement Policy (エンタイトルメントポリシー)の優先度の設定

デフォルトでは、Entitlement Policy (エンタイトルメントポリシー)のリスト内の順序に意味はありません。これは、Identity Manager 2に付属のドライバには、各エンタイトルメントの衝突の解決方法としてconflict-resolution="union"が設定されているためです。

任意のエンタイトルメントをconflict-resolution="priority"に変更した場合、Entitlement Policy (エンタイトルメントポリシー)のリスト内の順序は意味を持ちますが、対象となるのは変更したエンタイトルメントについてのみです。これらの値の詳細については、Entitlement Policy (エンタイトルメントポリシー)間の衝突の解決を参照してください。

Entitlement Policy (エンタイトルメントポリシー)の順序を変更するには、Entitlement Policy (エンタイトルメントポリシー)のリストの横にある矢印ボタンを使用します。リスト内の最初のポリシーは、優先度が最も高いことを示します。

1. iManagerで、［Role-Based Entitlements］>［Role-Based Entitlements］の順にクリックします。

2. ドライバセットを検索して選択します。

   Entitlement Policy (エンタイトルメントポリシー)のリストを示すページが表示されます。

3. 矢印ボタンを使用してポリシーをリスト内で上下に移動し、Entitlement Policy (エンタイトルメントポリシー)の優先度を変更します。

   Entitlement Policy (エンタイトルメントポリシー)をリストの最上位に移動すると、最も高い優先度が与えられます。

4. ［Close］ボタンをクリックし、ドライバを再起動します。

   優先度の変更は、ドライバを再起動するまでは有効になりません。

矢印ボタンが表示されたポリシーリストのページの例については、次の図を参照してください。