5.2 パスワード同期をサポートする接続システム

ユーザオブジェクトが作成されると、Identity Managerは常に接続システムからパスワードを受信できます。これは、接続システムがユーザの実際のパスワードをそのシステムから提供できない場合でも同じです。

AD、NT、eDirectory、およびNISはIdentity Managerからパスワードを受け入れて、ユーザの実際のパスワードをIdentity Managerに送信することもできます。つまり、これらのシステムは双方向パスワード同期を完全にサポートしています。

発行者チャネルのドライバ設定内でポリシーを定義すると、パスワードを作成するために使用できるデータを他のシステムが提供できます。大部分のドライバのドライバ設定例には、名字に基づいてデフォルトのパスワードを提供するポリシー例が含まれています。

接続システムは、Identity Managerからのパスワードを受け入れる各種機能を備えています。一部の接続システムは、新しいアカウントの初期パスワードの設定をサポートしますが、パスワード変更イベントはサポートしません。

サンプルドライバ環境設定の機能は、ドライバマニフェストに記載されています。以下の表は、ドライバマニフェストにない追加情報を示しています。表は、新しいアカウントに設定されている初期パスワードをアプリケーションが受け入れるかどうか、既存のパスワードへの変更を受け入れるかどうかを示しています。\'83\'7dニフェストでは、接続システムがパスワードを受け取ることができることだけが示されており、この違いについては示されていません。

類似した機\'94\'5cを持つサンプルドライバ設定を参照できるように、ドライバはグループ化されています。

5.2.1 双方向のパスワード同期をサポートするシステム

次の接続システムでは、双方向のパスワード同期がサポートされています。これらは、接続システム上のユーザの実際のパスワードを提供し、Identity Managerからパスワードを受諾できます。

表 5-2 双方向のパスワード同期をサポートするシステム

接続システムのドライバ

加入者チャネル

加入者チャネル

加入者チャネル

発行者チャネル

アプリケーションが初期パスワードの設定を受け取ることができる

アプリケーションがパスワードの変更を受け取ることができる

アプリケーションがパスワードの確認をサポートしている

Identity Managerがパスワードを提供(同期化)できる

Active Directory

はい

はい

はい

はい

eDirectory 1

はい

はい

はい

はい

NTドメイン

はい

はい

いいえ

はい

NIS

はい

はい

はい

はい

SIF

はい

はい

いいえ

はい

1識別ボールトツリー間では、ユニバーサルパスワードがユーザに対して有効化されていない場合でも、ユーザに双方向パスワード同期を提供できます。詳細については、セクション 5.8.2, シナリオ1: NDSパスワードを使用した、2つの識別ボールト間の同期を参照してください。

5.2.2 Identity Managerのパスワードを受け入れるシステム

次の接続システムは、Identity Managerからある程度までパスワードを受け入れることができます。これらは、接続システム上のユーザの実際のパスワードをIdentity Managerに提供できません。

ユーザの実際のパスワードは提供できませんが、接続システム上の他のユーザデータに基づいて、発行者チャネル上のポリシーを使用してパスワードを作成するように設定できます。(サンプルドライバ設定には、名字に基づいたデフォルトのパスワードが示されています)。

表 5-3 Identity Managerのパスワードを受け入れるシステム

接続システムのドライバ

加入者チャネル

加入者チャネル

加入者チャネル

発行者チャネル

アプリケーションが初期パスワードの設定を受け取ることができる

アプリケーションがパスワードの変更を受け取ることができる

アプリケーションがパスワードの確認をサポートしている

Identity Managerがパスワードを提供(同期化)できる

Groupwise®

はい

はい

いいえ

いいえ 2

JDBC

はい3

×4

いいえ

No 5

LDAP

はい6

はい6

はい

いいえ

メモ

はい

はい7

はい7

いいえ

SAP User Management

はい

はい

いいえ

いいえ

2GroupWiseは2つの認証方法をサポートします。

  • GroupWiseは独自の認証を提供し、ユーザパスワードを維持します。

  • GroupWiseはLDAPを使用してeDirectoryに対して認証し、パスワードは維持しません。

    このオプションを使用する場合、GroupWiseはドライバによって同期されたパスワードを無視します。

3初期パスワードを設定する機能は、OSユーザアカウントがOracle*、MS SQL、MySQL*、Sybase*などのデータベースのユーザアカウントと異なるすべてのデータベースで利用できます。

4JDBCのIdentity Managerドライバを使用して接続システムのパスワードを変更できますが、サンプルドライバ設定にはその機能は示されていません。

5パスワードはテーブルに格納する際にデータとして同期化できます。

6対象となるLDAPサーバでuserpassword属性を設定できる場合。

7Notesドライバはパスワードの変更を受け入れ、Lotus NotesのHTTPPasswordフィールドのパスワードのみを確認できます。

5.2.3 パスワードを受け入れたり、提供したりしないシステム

次の接続システムはパスワードを受諾できません。また、接続システムサンプルドライバ設定を使用して、ユーザのパスワードを提供することもできません。

ユーザのパスワードをIdentity Managerに提供することはできませんが、接続システム上の他のユーザデータに基づいて、発行者チャネル上のポリシーを使用してパスワードを作成するように設定できます。(サンプルドライバ設定には、名字に基づいたデフォルトのパスワードが示されています)。

表 5-4 パスワードを受け入れたり、提供したりしないシステム

接続システムのドライバ

加入者チャネル

加入者チャネル

加入者チャネル

発行者チャネル

アプリケーションが初期パスワードの設定を受け取ることができる

アプリケーションがパスワードの変更を受け取ることができる

アプリケーションがパスワードの確認をサポートしている

Identity Managerがパスワードを提供(同期化)できる

区切りテキスト

No 8

No 8

No 8

No 8

Exchange 5.5

いいえ

いいえ

いいえ

いいえ

PeopleSoft 3.6

いいえ

いいえ

いいえ

いいえ

PeopleSoft 4.0

いいえ

いいえ

いいえ

いいえ

SAP HR

いいえ

いいえ

いいえ

いいえ

8区切りテキスト用のIdentity Managerドライバには、パスワード同期を直接サポートするドライバシムの機能がありません。ただし、このドライバは、同期先の接続システムによってはパスワードを処理するように設定できます。

5.2.4 パスワード同期をサポートしないシステム

次の接続システムは、パスワード同期での使用向けではありません。

表 5-5 パスワード同期をサポートしないシステム

接続システムのドライバ

加入者チャネル

加入者チャネル

加入者チャネル

発行者チャネル

アプリケーションが初期パスワードの設定を受け取ることができる

アプリケーションがパスワードの変更を受け取ることができる

アプリケーションがパスワードの確認をサポートしている

Identity Managerがパスワードを提供(同期化)できる

Avaya* PBX

いいえ

いいえ

いいえ

いいえ

エンタイトルメントサービスドライバ

いいえ

いいえ

いいえ

いいえ

LoopBackサービスドライバ

いいえ

いいえ

いいえ

いいえ

手動タスクサービスドライバ

いいえ

いいえ

いいえ

いいえ