パスワード同期は、次の要素に依存します。
ドライバマニフェストは、接続システムが次のパスワード同期機能をサポートするかどうかを宣言します。
注: ドライバマニフェストは、ドライバの開発者、またはドライバ設定を作成するIdentity Managerのエキスパートによって記述されます。ネットワーク管理者が編集するためのものではありません。これは、ドライバシムと設定の真の機能を表すものであるため、マニフェストだけを変更しても機能は変更されません。機能を追加するには、ドライバシム、接続システム、またはドライバ設定を強化する必要があります。
Identity Managerに付属するドライバ設定はドライバマニフェストエントリを含みます。既存のドライバにこれらを追加するには、Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。
グローバル設定値はIdentity Managerの新機能で、これにより、ポリシー内で参照できる定数値を設定できます(これらは、サーバ変数と呼ばれることもあります。レプリカごとの属性に保持されるためです)。
パスワード同期では、これらの設定値を使用して、Identity Managerに対するパスワードフローの設定を作成できます。
ドライバ設定内のパスワード同期ポリシーはグローバル設定値の設定に基づいて動作するように記述されるため、ポリシーを編集せずにパスワードのフローを簡単に変更できます。
グローバル設定値を使用して、各接続システムの次の設定を制御できます。インタフェースでは、Identity ManagerはDirXMLと呼ばれます。
この設定は、接続システムによって提供されるパスワード、および発行者チャネルのドライバ設定内のポリシーによって作成できるパスワードに適用できます。この設定を無効にすると、両方のタイプのパスワードが除去されるため、パスワードはIdentity Managerに到達しません。
これらの方法を使用したシナリオ例については、パスワード同期の実装を参照してください。
適用した場合、着信パスワードは、準拠しない場合はIdentity Managerデータストアに書き込まれないことになります。
このオプションは、接続システムがサポートしない場合はインタフェース内で淡色表示されます(サポートしているかどうかはドライバマニフェストで宣言されています)。
この設定はIdentity Managerによって配布されるパスワードと、加入者チャネルのドライバ設定内のポリシーによって作成できるパスワードの両方に適用されます。この設定を無効にすると、両方のタイプのパスワードが除去されるため、パスワードは接続システムに到達しません。
このオプションは、接続システムがサポートしない場合はインタフェース内で淡色表示されます(サポートしているかどうかはドライバマニフェストで宣言されています)。
Identity Managerに付属するドライバ設定はドライバマニフェストエントリを含みます。既存のドライバにこれらを追加するには、Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。
これらのGCVは、iManagerの[Password Synchronization]タスク([Password Management]> [Password Synchronization])で編集します。このグラフィカルインタフェースを使用して、接続システムとIdentity Managerの間のパスワードフローを指定できます。
接続システムドライバを検索する場所を指定すると、インタフェースによって検索されたすべての接続システムに対するパスワードフロー設定の概要が表示されます。概要ページの一例を次に示します。
このページでは、ドライバ名をクリックすると、制御するすべての設定をドリルダウンして表示できます。
次の図は、表示されるページを示します。これは、パスワード同期のグローバル設定値を設定するためのグラフィカルインタフェースです。
このページのオプションが淡色表示されている場合は、ドライバマニフェストによって、接続システムがそのオプションをサポートしていないことが示されています。
注: このインタフェースによって、各ドライバのグローバル設定値を設定できます。ドライバのグローバル設定値は、ドライバセットの値よりも優先され、特定のドライバにグローバル設定値を設定することで、より細分化された制御が可能です。このページは、個々のドライバに存在するグローバル設定値だけを表示できます。
グローバル設定値は、ドライバ設定オブジェクトに設定でき、ドライバセット内のドライバが自身の値を持たない場合はそのドライバがグローバル設定値を継承します。ドライバが自身の設定を持たず、ドライバセットからのグローバル設定値を継承する場合、このインタフェースは表示されません。このインタフェースには継承されているグローバル設定値は表示されませんが、グローバル設定値はパスワード同期ポリシーによって適用されます。
各ドライバの発行者チャネルと加入者チャネルのポリシーは、前述のグローバル設定値内の設定に基づいてパスワードフローを制御します。
これらのポリシーはIdentity Managerのドライバ設定に含まれます。
既存のドライバ設定を置き換えるのではなく更新する場合は、これらのポリシーを設定に追加する必要があります(Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照)。
パスワード同期を機能させるには、これらのポリシーをドライバ設定の正しい場所に指定する必要があります。
AD、NTドメイン、およびNISでは、ユーザのパスワードを取得するためにフィルタをインストールする必要があります。
パスワードフィルタの設定を参照してください。
Password Policy (パスワードポリシー)を使用してユーザ用のユニバーサルパスワードを有効にする必要があります(ただし、ユニバーサルパスワードなしでもパスワード同期の一部の機能は使用できます)。また、Password Policy (パスワードポリシー)によって、Advanced Password Rule (詳細パスワードルール)を指定し、ユーザの既存のパスワードがルールに準拠しているかどうか確認するように指定できます。
Identity Managerパスワード同期を使用するには、Password Policy (パスワードポリシー)を理解する必要があります。
Password Policy (パスワードポリシー)については、Password Policy (パスワードポリシー)を使用したパスワードの管理で説明しています。
状況によっては、NMAS Simple Password Login Methodを用意して、パスワード機能を実行できるようにする必要があります。たとえば、LDAPではこのメソッドが必要です。
ログインメソッドについては、『 Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Novell Modular Authentication Services (NMAS) 2.3管理ガイド)』を参照してください。