Entitlement Policy (エンタイトルメントポリシー)を作成するには、提供されるウィザードを使用します。
エンタイトルメントサービスドライバが設定されていること、および必要なドライバ設定が作成されていることを確認します。
iManagerで、[
ドライバセットを選択します。
Entitlement Policy (エンタイトルメントポリシー)は、ドライバセットごとに設定します。
既存のエンタイトルメントポリシーのリストが、次の図に示されているページのように開きます。初めてRole-Based Entitlement (役割ベースのエンタイトルメント)を使用する場合は、リストに\'95\'5c示されるポリシーはありません。
をクリックします。
ウィザードが開きます。
メモ:新しいエンタイトルメントポリシーを作成すると、エンタイトルメントサービスドライバが停止します。ポリシーの作成が完了したら、[
]をクリックする必要があります。ウィザードのステップ 5.aからステップ 5.fに従い、新しいポリシーを作成します。ウィザードの各ステップについては、オンラインヘルプを参照してください。
ポリシーの名前と説明を指定して、[
]をクリックします。検索パラメータを定義して、ダイナミックメンバーシップフィルタを定義します。
検索を実行する権限があるユーザを指定します。
検索を開始する場所を指定します。
検索のスコープを指定します。
フィルタ条件を定義して、[
]をクリックします。条件により、エンタイトルメントポリシーのメンバーであるユーザが判断されます。
検索条件にメンバーを含めるまたは条件からメンバーを除外して、スタティックメンバーを定義して、[
]をクリックします。ポリシーのエンタイトルメントと値を定義します。
[
]をクリックして、含めるIdentity Managerドライバと要素を選択します。エンタイトルメントはセクション 6.4, iManagerを介したXMLでのエンタイトルメントの記述で作成しました。
エンタイトルメントが設定されているドライバを参照して選択し、[
]をクリックします。エンタイトルメントを選択して、[
]をクリックします。プラス[+]アイコンをクリックして、エンタイトルメントの値を定義します。
希望する値を選択して、[
]をクリックします。[
]をクリックします。このエンタイトルメントポリシーをトラスティにするオブジェクトを参照します。
[
]をクリックしてオブジェクトを参照して、[ ]をクリックします。オブジェクトを選択して、[
]をクリックします。希望するプロパティを定義して、[
]をクリックします。サマリを読み、実行したい内容がエンタイトルメントポリシーで行われることを確認します。確認後問題なければ[
Back]をクリックします。[
Entitlement Policy (エンタイトルメントポリシー)の作成により、エンタイトルメントサービスドライバがオフになります。
Identity Managerドライバと同様、各エンタイトルメントポリシーが管理できるのは、割り当てられたサーバ上のマスタレプリカまたは読み書き可能レプリカに存在するオブジェクトだけです。各Entitlement Policy (エンタイトルメントポリシー)は、特定のサーバに割り当てられている1つのドライバセットオブジェクトに関連付けられます。
エンタイトルメントポリシーのメンバーになることができるのは、ユーザオブジェクト、およびユーザのクラスに基づく他のオブジェクトタイプだけです。エンタイトルメントポリシーの[メンバーシップ]ページを表示するには、[
]の順に選択し、エンタイトルメントポリシーリストから編集するエンタイトルメントポリシーを強調表示し、[ ]を選択します。Internet Explorerブラウザでは[エンタイトルメントポリシーは、ダイナミックグループオブジェクトです。エンタイトルメントポリシーのメンバーシップは、ダイナミックおよびスタティックの2つの方法で定義できます。同じエンタイトルメントポリシーで、この両方の方法を使用できます。
ダイナミック: 役職名に「マネージャ」という語が含まれるかなど、オブジェクトの属性値に基づき、メンバーシップの条件を定義できます。指定する条件は、LDAPフィルタに変換されます。
条件に一致するユーザは自動的にエンタイトルメントポリシーの一部になります。各ユーザを個別にポリシーに追加する必要はありません。ダイナミックメンバーシップは、ダイナミックグループオブジェクトと同様です。
オブジェクトが変更されダイナミックメンバーシップの条件に合致しなくなった場合は、エンタイトルメントは自動的に取り消されます。
図 6-2 ダイナミックメンバーおよびスタティックメンバーの編集
スタティック - ダイナミックメンバーシップの条件(LDAPフィルタ)の作成に加え、特定のユーザを含めたり、除外したりすることができます。
フィルタの条件に一致しないメンバーは、スタティックに追加できます。フィルタの条件に合致していても、Entitlement Policy (エンタイトルメントポリシー)に含める必要がないメンバーは除外できます。
メモ:[
]オプションの順にクリックして再評価を実行し、エンタイトルメントサービスドライバを停止した場合、ドライバを再起動後に、再評価処理を開始できます。エンタイトルメントを使用すると、接続システム上のサービスおよび識別\'83\'7bールトの権利へのアクセスを付与または取り消すことができます。
インストールするエンタイトルメントが有効なドライバには、エンタイトルメントポリシーを使用して割り当てることができるエンタイトルメントのリストが付属しています。エンタイトルメントポリシーで使用できる、独自のエンタイトルメントを作成できます。ドライバが提供できるエンタイトルメントは、ドライバの子オブジェクトです。これは、ドライバおよび接続システムの機\'94\'5cを示すためにドライバ開発者が作成するものです
識別ボールト内のオブジェクトに対するトラスティ権は、エンタイトルメントポリシーのメンバーにただちに付与されます。デフォルトでは、次にEntitlement Policy (エンタイトルメントポリシー)メンバーシップに使用される属性が変更されたとき、またはユーザが別のコンテナに移動されたり名前変更されたりしたときに、接続システムのエンタイトルメントがEntitlement Policy (エンタイトルメントポリシー)の各メンバーに付与されます。
接続システムのエンタイトルメントは、次のとおりです。
アカウント
電子メール配布リストのメンバーシップ
NOSリストのグループメンバーシップ
指定した値が入力された、接続システムで対応するオブジェクトの属性
その他のカスタ\'83\'7dイズ可\'94\'5cなエンタイトルメント
エンタイトルメントポリシーにエンタイトルメントを追加するには、[エンタイトルメント]ページに移動してドライバを選択します。ドライバが提供するエンタイトルメントを示すポップアップウィンドウが\'95\'5c示されます。
たとえば、次の\'90\'7dは、GroupWiseドライバにより2種類のエンタイトルメントが提供され、リストの先頭に[GroupWise User Account]が\'95\'5c示されていることを示します。
図 6-3 エンタイトルメントを定義するインタフェース
接続システム上のグループにメンバーシップを割り当てるには、ドライバが提供するエンタイトルメントのリストからメンバーシップエンタイトルメントを選択します。
次の\'90\'7dは、[GroupWise Distribution Lists]がリストの2番目に\'95\'5c示されている例を示します。
図 6-4 GroupWise配布リストの選択
この例で[
図 6-5 エンタイトルメントのクエリ
エンタイトルメントポリシーインタフェースを使用すると、電子メール配布リストまたはNOSリストを問い合わせることができます。クエリが実行された後、キャッシュされたリストを\'95\'5c示するよう選択できます。
ドライバは完全なリストを返すように設定されているので、接続システムに存在するリストから選択できます。
メモ:完全なリストを返すクエリではなく、指定したグループ名にリストを制限するようドライバをカスタ\'83\'7dイズできます。
接続システムのユーザアカウントには、属性値を割り当てられます。このインタフェースにより、ユーザアカウントに割り当てる値を入力できます。
次の\'90\'7dは、Notesの属性Departmentに属性値を追加する例を示します。
図 6-6 属性値の追加