Role-Based Entitlement (役割ベースのエンタイトルメント)は、ポリシーのメンバーシップに基づき、アカウントなどのエンタイトルメントを一括して変更できるように設計されています。ただし、これは、ポリシーの変更時に誤りがあると問題になる可能性があることを意味します。Identity Managerに付属のドライバ設定では、影響の最も少ない設定が使用されています。データの損失を防ぐには、どの設定が有効かを理解する必要があります。
2つの設定方法の最も大きな違いは、説明変数および衝突の解決です。エンタイトルメントの追加または削除の意味の制御とEntitlement Policy (エンタイトルメントポリシー)間の衝突の解決を参照してください。
たとえば、削除は、アカウントを削除するための説明変数に対する値として使用しないことをお勧めします。Role-Based Entitlement (役割ベースのエンタイトルメント)により、テスト期間を経ずに運用環境で大きな変更を加えることができます。また、いずれかのユーザから意図せずアカウントエンタイトルメントを削除するという誤りが発生する可能性があります。
管理者は、アカウントを取り消すための説明変数を削除ではなく無効に設定することで、データを保護できます。
新しいEntitlement Policy (エンタイトルメントポリシー)を作成または編集する際にデータを保護するもう1つの方法は、ポリシーの編集が終了しないうちは、ドライバをオフにして変更できないようにすることです。編集が完了したら、[Entitlement Policies]インタフェースの[Restart]ボタンを使用し、ドライバを手動で再起動します。同様に、別のユーザがEntitlement Policy (エンタイトルメントポリシー)を編集している可能性がある場合に、[Restart]ボタンを使用してドライバを再起動しようとすると、他のユーザの変更作業が完了するまではドライバを再起動しないようにプロンプトが表示されます。