この節では、Identity Managerを実装するときの高レベルな策略的側面およびプロジェクト管理面についての概要を説明します。(技術的側面については、セクション 2.3, Identity Managerの実装に関する技術面の計画を参照してください)。
この計画用資料では、Identity Managerプロジェクトの始まりから、運用環境に完全に展開されるまでに通常、行うと想定されるアクティビティの概要が示されます。識別情報管理を導入する上では、環境内の要件と対象となるユーザを見極め、ソリューションを設計し、当事者の賛同を得た上で、十分にテストを行い、このソリューションを展開するということが不可欠です。この節の目的は、そのプロセスを十分に理解するための指針を示すことで、Identity Managerを最大限に活用できるようにすることです。
ソリューション展開時には、Identity Managerのエキスパートの参加を要請するよう強くお勧めします。提携オプションの詳細については、Novell®ソリューションパートナーのWebサイトを参照してください。Novellトレーニングでは、Identity Managerの実装を扱う各種コースもご提供しています。
また、ソリューションのテスト、分析、および開発を行うことが可能なテスト/開発用環境をセットアップすることを強くお勧めします。作業が滞りなく進むようになったら、最終製品を運用環境に展開します。
この節は内容を完全に網羅しているわけではなく、可能性のあるすべての環境設定を扱うことや、そのまま実行に移すことを目的とはしていません。各環境は異なっており、使用するアクティビティの種類によって柔軟性を必要としています。
Identity Managerを展開するときのベストプラクティスとして、次のアクティビティが挙げられます。
Identity Managerの実装は、調査プロセスから始めるのが妥当です。調査プロセスでは次のタスクを行います。
識別情報を管理する主な目的の特定
対処するビジネス上の問題の定義または明確化
未解決の問題に対処するのに必要なイニシアチブの決定
それらのイニシアチブの1つまたは複数を実行するために必要なものの判別
高レベルな計画または「ソリューションロードマップ」と、一致した実行経路の開発
調査を行うことにより、すべての関係者間で問題とソリューションについて共通の見解が得られます。ディレクトリ、Novell eDirectory™、Novell Identity Manager、XML統合に関する基礎知識を、分析段階で関係者に周知することが求められます。調査プロセスは、そうした情報の理解に大変役立ちます。
すべての当事者間で、基礎レベルの理解を確立できます。
当事者から重要なビジネスおよびシステム情報を得ることができます。
ソリューションロードマップが開発可能になります。
調査により、そのすぐ後の手順を識別することもできます。たとえば、次の手順などがあります。
要件および設計フェーズに備えた計画アクティビティの特定
一般ユーザ向けの追加教育の定義
主要なビジネスユーザおよびテクニカルユーザとの構成的インタビュー
ビジネスおよび技術的問題の高レベルな概要レポート
次の手順の推奨事項
調査結果の概要を示す幹部対象プレゼンテーション
この分析フェーズでは、プロジェクトの技術およびビジネスの両方の側面について詳細に調べ、データモデルと高レベルなIdentity Managerアーキテクチャ設計を生成します。このアクティビティは、ソリューションを実装する上で非常に重要な、起点となる手順です。
設計の焦点は特に識別情報管理にありますが、ファイルおよび印刷など、従来リソース管理ディレクトリと関連付けられていた要素の多くも扱うことができます。次に示す各項目の例も参照してください。
使用されているシステムソフトウェアのバージョンは何か。
ディレクトリ設計は適切か。
ディレクトリは識別ボールトおよびIdentity Managerのホストに使用されているか、または他のサービスの拡張に使用されているか。
全システムのデータの品質は適切か。(データが使用可能な品質でないと、ビジネスポリシーが正しく実装されない場合があります)。
環境ではデータ操作が必要か。
要件分析の後、実装の範囲およびプロジェクト計画を確立して、あらかじめ必要なアクティビティを行う必要があるかどうかを決定できます。大幅な手戻りを未然に防ぐため、情報の収集と要件の文書化はできる限り徹底的に行ってください。
要件を検討することで、同時に次のタスクを完了できる場合があります。
組織のビジネスプロセスと、これらのビジネスプロセスを定義するビジネス要件を収集します。
たとえば、従業員が退職するときのビジネス要件は、従業員のネットワークおよび電子メールアカウントのアクセス権を、その従業員が退職するのと同じ日に削除することです。
次のタスクは、ビジネス要件の定義を理解する上で役立ちます。
プロセスフロー、プロセストリガ、およびデータマッピング関係を確立します。
たとえば、特定のプロセスで何かが発生する場合、そのプロセスが原因で発生するのは何か。また、それによってトリガされる他のプロセスは何か。
アプリケーション間のデータフローをマップします。
2/25/2007から25 Feb 2007への変換など、ある形式から別の形式への変換に必要なデータ変換を特定します。
存在するデータの従属関係を文書化します。
特定の値が変更された場合、その値に従属関係があるかどうかを調べるのは重要なことです。特定のプロセスが変更された場合、そのプロセスに従属関係があるかどうか知っておくことも重要です。
たとえば、人事システムで「一時的な」従業員ステータス値を選択することは、制限された権限と特定の勤務時間のネットワークへのアクセス権を持つユーザオブジェクトを、IT部署がeDirectoryで作成する必要があることを意味しています。
優先度を一覧表示します。
関係者全員のすべての要求、要望を即座に満たせるわけではありません。プロビジョニングシステムの設計と展開の優先度を考慮することは、ロードマップを計画するのに役立ちます。
展開のある部分を先に実装して、展開の他の部分を後で実装することができるように、展開を複数のフェーズに分けることが役立つ場合があります。段階的な展開方法も同様に行うことができます。組織内のグループ別に行ってください。
前提条件を定義します。
展開の特定のフェーズを実行するのに必要な前提条件は、文書化する必要があります。これには、Identity Managerとのインタフェースになる接続システムへのアクセス権も含まれます。
信頼されるデータソースを特定します。
システム管理者やマネージャが自分の担当範囲と考えている項目を早期に知ることが、関係者全員の同意を得て、円滑に作業を進めることにつながります。
たとえば、アカウント管理者には、特定のファイルおよびディレクトリに対する権限を従業員に付与するため、所有権が必要な場合があります。これは、アカウントシステムでローカルトラスティの割り当てを実装することにより行うことができます。
ビジネスプロセスの分析は、多くの場合アプリケーションやシステムを実際に使用するマネージャ、管理者、および従業員など、中心となる個人へのインタビューから始まります。想定される問題としては、次のようなものが上げられます。
データの送信元はどこか。
データの送信先はどこか。
データの責任者は誰か。
データが属すビジネス機能の所有権を持っているのは誰か。
データの変更時に連絡しなければならないのは誰か。
データの変更がもたらす影響は何か。
データ処理(収集や編集)にはどのような作業方法が存在するか)。
どのような種類の操作が実行されるか。
データの品質と整合性を保証するために取られている方法は何か。
システムはどこにあるか(どの部署のどのサーバか)。
自動処理に適していないプロセスは何か。
たとえば、人事部のPeopleSoftシステムの管理者への質問として想定する場合、次のようなものが考えられます。
PeopleSoftデータベースに保存されているデータは何か。
従業員アカウントの各種パネルに表示される内容は何か。
プロビジョニングシステム全体に反映するのに必要なアクションは何か(追加、変更、または削除など)。
これらのうち、どれが必須で、どれがオプションか。
PeopleSoftで実行されたアクションに基づいてトリガするのに必要なアクションは何か。
無視すべき操作、イベント、アクションは何か。
データはどのように変換されてIdentity Managerにマップされるか。
主要な人へのインタビューにより、プロセス全体をよりはっきりと把握できる、組織の他の領域を導き出すこともあります。
ビジネスプロセスの定義が完了した後は、現在のビジネスプロセスを反映するデータモデルの設計に着手できます。
モデルには、データの送信元、送信先、および送信不可能な場所を示す必要があります。重要なイベントがデータフローにどのような影響を与えるかも示す必要があります。
ビジネスプロセスの案と、そのプロセスで自動化されたプロビジョニングを実装する利点を示す図を開発することもできます。
モデルの開発は、次のような質問に回答することから始めます。
移動されるオブジェクトの種類(ユーザ、グループなど)は何か。
どのイベントが重要か。
同期が必要な属性はどれか。
管理対象のさまざまな種類のオブジェクトに対し、ビジネス全体で保存されるデータは何か。
同期は一方向か双方向か。
各属性に対して、信頼されるソースであるシステムはどれか。
システム間のさまざまな値の相互関係について考慮することも重要です。
たとえば、PeopleSoftの従業員ステータスフィールドには、従業員、契約社員、およびインターンの3つの設定値があるとします。一方、Active Directoryシステムには、常駐および臨時の2つの値しかないとします。この場合では、PeopleSoftの「契約業者」ステータスと、Active Directoryの「常駐」および「臨時」の値の間の関係を決定する必要があります。
この作業の焦点は、各ディレクトリシステム、相互の関係、システム全体で同期する必要のあるオブジェクトおよび属性について理解することです。
すべてのシステム、信頼されるデータソース、イベント、情報フローおよびデータ形式の標準を示し、接続システム間の関係とIdentity Manager内の属性をマップするデータモデル。
ソリューションの適切なIdentity Managerアーキテクチャ
追加のシステム接続要件の詳細
データ検証およびレコード照合の方針
Identity Managerインフラストラクチャをサポートするディレクトリ設計
すべての外部システムに精通している従業員(HRデータベースの管理者、ネットワークおよびメッセージングシステムの管理者など)
システムスキーマおよびサンプルデータの可用性
分析および設計フェーズからのデータモデル
組織図、WANおよびサーバのインフラストラクチャなど、基本情報の可用性
このアクティビティの結果は、会社のビジネスポリシーおよびデータフローを反映するサンプル実装を、テスト環境で行うことです。これは、要件分析および設計時に開発されたデータモデルの設計を基にし、運用準備段階の最終手順になります。
メモ:この手順を行うことで、管理サポートを得ることができ、最終的な実装作業を行う能力を培うことができます。
すべてのシステム接続が機能している状態で、動作しているIdentity Managerの概念の吟味
ハードウェアプラットフォームおよび機器
必要なソフトウェア
必要な接続を特定する分析および設計フェーズ
テスト目的での可用性と、他のシステムへアクセス状況
分析および設計フェーズからのデータモデル
運用システム内のデータでは、品質と整合性が保たれない場合があるため、システムの同期時に不整合が発生する可能性があります。この段階では、リソース実装チームと、統合されるシステム内のデータを「所有」または管理するビジネス単位またはグループの分離の明白な点が示されます。場合によっては、関連付けられたリスクとコストの要素が、1つのプロビジョニングプロジェクトには収まらない場合もあります。
識別ボールトへのロードに適した運用データセット(分析および設計アクティビティで特定したもの)。これには、考えられるロードの方法(バルクロードか、コネクタ経由のロードのどちらか)も含まれます。検証または形式指定されるデータの要件も識別されます。
使用されている機器と、Identity Managerの展開の分散されたアーキテクチャ全体に関して、パフォーマンスにまつわる各種の要因も識別、検証されます。
分析および設計フェーズからのデータモデル(レコード照合の案およびデータ形式の方針)
運用データセットへのアクセス権
このアクティビティの目的は、運用環境への移行を開始することです。このフェーズ中には、追加のカスタマイズが発生する可能性があります。この限定的な導入では、先行するアクティビティの期待される結果を確認でき、運用開始の合意を得ることができます。
メモ:このフェーズでは、ソリューションの受け入れ条件と、完全な運用までに必要なマイルストーンが得られる可能性があります。
実物による概念の吟味と、データモデルおよびプロセスの期待される結果の検証を行う準備ソリューション。
これまでのすべてのアクティビティ(分析および設計、Identity Manager技術プラットフォーム)。
このフェーズでは、運用展開の計画に移ります。計画では、次のことを行う必要があります。
サーバプラットフォーム、ソフトウェアリビジョン、およびサービスパックの確認
全体的な環境の確認
混在した共存環境での識別ボールト導入の確認
パーティション化およびレプリケーション方針の確認
Identity Managerの実装の確認
従来のプロセスの切り替え計画
予期しない問題のロールバック方針の計画
運用開始計画
従来のプロセスの切り替え計画
予期しない問題のロールバック計画
これまでのすべてのアクティビティ
このフェーズでは、運用環境で実際のデータ全体に対し、試験的なソリューションを拡張します。通常、運用準備がすべての技術的要件およびビジネス要件を満たしたという合意に基づいて行われます。
移行の準備が完了した運用ソリューション
これまでのすべてのアクティビティ