Novell Documentation: Nsure Identity Manager 2.0 - Entitlement Policy (エンタイトルメントポリシー)の作成

Entitlement Policy (エンタイトルメントポリシー)の作成

Entitlement Policy (エンタイトルメントポリシー)を作成するには、提供されるウィザードを使用します。

エンタイトルメントサービスドライバが設定されていること、および必要なドライバ設定が作成されていることを確認します。
iManagerで、［Role-Based Entitlements］役割>［Role-Based Entitlements］タスクの順にクリックします。
ドライバセットを選択します。

Entitlement Policy (エンタイトルメントポリシー)は、ドライバセットごとに設定します。

既存のEntitlement Policy (エンタイトルメントポリシー)のリストが、次の図に示されるページのように開きます。初めてRole-Based Entitlement (役割ベースのエンタイトルメント)を使用する場合は、リストに表示されるポリシーはありません。
［New］をクリックします。

Create New Entitlement Policy Wizardが開きます。
ウィザードの指示に従い、新しいポリシーを作成します。

ウィザードの各手順については、オンラインヘルプを参照してください。

Entitlement Policy (エンタイトルメントポリシー)のためのメンバーシップの定義

DirXMLドライバと同様、各Entitlement Policy (エンタイトルメントポリシー)が管理できるのは、割り当てられたサーバ上のマスタレプリカまたは読み書き可能レプリカに存在するオブジェクトだけです。各Entitlement Policy (エンタイトルメントポリシー)は、特定のサーバに割り当てられている1つのドライバセットオブジェクトに関連付けられます。

Entitlement Policy (エンタイトルメントポリシー)のメンバーになることができるのは、ユーザオブジェクト(およびユーザのクラスに基づく他のオブジェクトタイプ)だけです。

Entitlement Policy (エンタイトルメントポリシー)は、ダイナミックグループオブジェクトです。Entitlement Policy (エンタイトルメントポリシー)のメンバーシップは、ダイナミックおよびスタティックの2つの方法で定義できます。同じEntitlement Policy (エンタイトルメントポリシー)で、この両方の方法を使用できます。

ダイナミック - 役職名に「マネージャ」という語が含まれるかなど、オブジェクトの属性値に基づき、メンバーシップの条件を定義できます。指定する条件は、LDAPフィルタに変換されます。

条件に合致するユーザは自動的にEntitlement Policy (エンタイトルメントポリシー)の一部になります。各ユーザを個別にポリシーに追加する必要はありません。ダイナミックメンバーシップは、ダイナミックグループオブジェクトと同様です。

オブジェクトが変更されダイナミックメンバーシップの条件に合致しなくなった場合は、エンタイトルメントは自動的に取り消されます。
スタティック - ダイナミックメンバーシップの条件(LDAPフィルタ)の作成に加え、特定のユーザを含めたり、除外したりすることができます。

フィルタの条件に合致しないメンバーは、スタティックに追加できます。フィルタの条件に合致していても、Entitlement Policy (エンタイトルメントポリシー)に含める必要がないメンバーは除外できます。

Entitlement Policy (エンタイトルメントポリシー)のためのエンタイトルメントの選択

Role-Based Entitlement (役割ベースのエンタイトルメント)により、接続システムのエンタイトルメントおよびeDirectoryの権利を付与できます。

Role-Based Entitlement (役割ベースのエンタイトルメント)をサポートするドライバは、Entitlement Policy (エンタイトルメントポリシー)を使用して割り当てられるエンタイトルメントのリストを提供します。ドライバが提供できるエンタイトルメントは、ドライバマニフェストにリスト表示されます。ドライバマニフェストは、ドライバおよび接続システムの機能を示すためにドライバ開発者が作成するものです(Identity Manager管理者は、ドライバマニフェストを編集しないでください)。

eDirectory内のオブジェクトに対するトラスティ権は、Entitlement Policy (エンタイトルメントポリシー)のメンバーにただちに付与されます。デフォルトでは、次にEntitlement Policy (エンタイトルメントポリシー)メンバーシップに使用される属性が変更されたとき、またはユーザが別のコンテナに移動されたり名前変更されたりしたときに、接続システムのエンタイトルメントがEntitlement Policy (エンタイトルメントポリシー)の各メンバーに付与されます。

接続システムのエンタイトルメントは、次のとおりです。

アカウント
電子メール配布リストのメンバーシップ
NOSリストのグループメンバーシップ
指定した値が入力された、接続システムで対応するオブジェクトの属性
その他のカスタマイズ可能なエンタイトルメント

この節では、次の項目について説明します。

接続システムのアカウント

Entitlement Policy (エンタイトルメントポリシー)にエンタイトルメントを追加するには、［Entitlements］ページに移動してドライバを選択します。ドライバが提供するエンタイトルメントを示すポップアップウィンドウが表示されます。

たとえば、次の図は、GroupWiseドライバにより2種類のエンタイトルメントが提供され、リストの先頭に［GroupWise User Account］が表示されていることを示します。

電子メール配布リストおよびNOSリストのメンバーシップ

接続システム上のグループにメンバーシップを割り当てるには、ドライバが提供するエンタイトルメントのリストからメンバーシップエンタイトルメントを選択します。

次の図は、［GroupWise Distribution Lists］がリストの2番目に表示されている例を示します。

この例で［GroupWise Distribution Lists］を選択した場合、次の図の例のようなクエリポップアップが表示されます。

Entitlement Policyインタフェースでは、電子メール配布リストまたはNOSリストを問い合わせることができます。クエリが実行された後、キャッシュされたリストを表示するよう選択できます。

ドライバは完全なリストを返すように設定されているので、接続システムに存在するリストから選択できます。

注: 完全なリストを返すクエリではなく、入力したグループ名にリストを制限するようドライバをカスタマイズできます。

接続システムの属性値

接続システムのユーザアカウントには、属性値を割り当てられます。提供されるインタフェースにより、ユーザアカウントに割り当てる値を入力できます。

次の図は、Notesの属性Departmentに属性値を追加する例を示します。