Novell Documentation: Identity Manager Drivers - デフォルトのドライバ環境設定

1.4 デフォルトのドライバ環境設定

Active Directoryドライバは、ActiveDirectory.xmlというデフォルトの環境設定ファイルに付属しています。デザイナまたはiManagerでインポートされると、この環境設定ファイルにより、Active Directoryとの同期に適したルールセットとポリシーでドライバが作成されます。ドライバの要件がデフォルトのポリシーと異なる場合は、適切なポリシーを実施するようポリシーを変更する必要があります。デフォルトの一致ポリシーに細心の注意を払ってください。通常、ユーザを表し信頼するデータは、デフォルトとは異なります。ポリシー自体には注釈が付いているので、テストドライバをインポートしてデザイナまたはiManagerでポリシーを確認すれば、ポリシーの機能を十分に理解できます。

1.4.1 ユーザオブジェクト名マッピング

iManagerやConsoleOneのようなアイデンティティボールトの管理ユーティリティには、通常、Microsoft^*管理コンソール(MMC)の「ユーザとコンピュータスナップイン」とは異なるユーザオブジェクトの名前が付けられます。使用する一致ポリシーと任意の変換ポリシーが正しく実装されるように、相違点を確実に理解してください。

1.4.2 データフロー

データは、Active Directoryとアイデンティティボールトの間で受け渡しできます。データフローは、Active Directoryドライバのために用意されているポリシーによって制御されます。

ポリシー

ポリシーは、Active Directoryとアイデンティティボールトの間のデータ同期を制御します。

ドライバの環境設定中に、Active Directory環境設定ファイルによって作成したデフォルトのポリシーとフィルタに作用するオプションをいくつか選択できます。Table 1-1は、こうしたオプションおよび作成したポリシーやフィルタへの作用を示しています。

Table 1-1 データフローオプション

オプション	説明
	［データフローの設定］では、同期される属性およびクラスを制御する最初のドライバフィルタを確立します。このオプションの目的は、一般的なデータフローポリシーを最もよく表すようにドライバを設定することです。特定の要件を反映するように、このオプションをインポート後に変更できます。［Bidirectional (双方向)］では、発行者チャネルと購読者チャネルの両方で同期するようにクラスと属性を設定します。アイデンティティボールトまたはActive Directoryでの変更は相手側に反映されます。両方を信頼されるデータソースにしたい場合に、このオプションを使用します。［ADからボールトへ］では、発行者チャネルだけで同期するようにクラスと属性を設定します。Active Directoryでの変更はアイデンティティボールトに反映されますが、アイデンティティボールトでの変更は無視されます。Active Directoryを信頼されるデータソースにしたい場合に、このオプションを使用します。［ボールトからADへ］では、購読者チャネルだけで同期するようにクラスと属性を設定します。アイデンティティボールトでの変更はActive Directoryに反映されますが、Active Directoryでの変更は無視されます。ボールトを信頼されるデータソースにしたい場合に、このオプションを使用します。
	［発行者の配置］では、アイデンティティボールトでのオブジェクトの作成場所を制御します。［ミラーリング済み］では、オブジェクトをActive Directoryの場合と同じ階層でアイデンティティボールトに格納します。［平面］では、環境設定中に指定したアイデンティティボールト内のベースコンテナにすべてのオブジェクトを格納します。
	［Subscriber Placement (購読者の配置)］では、Active Directoryでのオブジェクトの配置方法を制御します。［ミラーリング済み］では、オブジェクトをアイデンティティボールトの場合と同じ階層でActive Directoryに格納します。［平面］では、環境設定中に指定したActive Directory内のベースコンテナにすべてのオブジェクトを格納します。

オプション

説明

［データフローの設定］では、同期される属性およびクラスを制御する最初のドライバフィルタを確立します。このオプションの目的は、一般的なデータフローポリシーを最もよく表すようにドライバを設定することです。特定の要件を反映するように、このオプションをインポート後に変更できます。

［Bidirectional (双方向)］では、発行者チャネルと購読者チャネルの両方で同期するようにクラスと属性を設定します。アイデンティティボールトまたはActive Directoryでの変更は相手側に反映されます。両方を信頼されるデータソースにしたい場合に、このオプションを使用します。

［ADからボールトへ］では、発行者チャネルだけで同期するようにクラスと属性を設定します。Active Directoryでの変更はアイデンティティボールトに反映されますが、アイデンティティボールトでの変更は無視されます。Active Directoryを信頼されるデータソースにしたい場合に、このオプションを使用します。

［ボールトからADへ］では、購読者チャネルだけで同期するようにクラスと属性を設定します。アイデンティティボールトでの変更はActive Directoryに反映されますが、Active Directoryでの変更は無視されます。ボールトを信頼されるデータソースにしたい場合に、このオプションを使用します。

［発行者の配置］では、アイデンティティボールトでのオブジェクトの作成場所を制御します。

［ミラーリング済み］では、オブジェクトをActive Directoryの場合と同じ階層でアイデンティティボールトに格納します。

［平面］では、環境設定中に指定したアイデンティティボールト内のベースコンテナにすべてのオブジェクトを格納します。

［Subscriber Placement (購読者の配置)］では、Active Directoryでのオブジェクトの配置方法を制御します。

［ミラーリング済み］では、オブジェクトをアイデンティティボールトの場合と同じ階層でActive Directoryに格納します。

［平面］では、環境設定中に指定したActive Directory内のベースコンテナにすべてのオブジェクトを格納します。

Table 1-2は、デフォルトのポリシーを示し、環境設定中に選択した設定内容がどのようにポリシーに作用するかについて説明しています。

Table 1-2 デフォルトのポリシー

ポリシー	説明
作成一致配置	ミラーリング済み階層または平面階層では、フルネームを定義して、Active Directoryユーザをアイデンティティボールトのユーザとして作成する必要があります。ミラーリング済み階層では、一致ポリシーは、階層内の同じ位置でオブジェクトを検出しようとします。平面階層では、一致ポリシーは、指定するベースコンテナの同じフルネームを持つオブジェクトと一致するユーザを検出しようとします。ミラーリング済み階層では、配置ポリシーは、操作を送信するデータストアの階層を反映する階層内にすべてのオブジェクトを格納します。平面階層では、配置ポリシーは、指定するベースコンテナにすべてのオブジェクトを格納します。

ポリシー

説明

作成

一致

配置

ミラーリング済み階層または平面階層では、フルネームを定義して、Active Directoryユーザをアイデンティティボールトのユーザとして作成する必要があります。

ミラーリング済み階層では、一致ポリシーは、階層内の同じ位置でオブジェクトを検出しようとします。

平面階層では、一致ポリシーは、指定するベースコンテナの同じフルネームを持つオブジェクトと一致するユーザを検出しようとします。

ミラーリング済み階層では、配置ポリシーは、操作を送信するデータストアの階層を反映する階層内にすべてのオブジェクトを格納します。

平面階層では、配置ポリシーは、指定するベースコンテナにすべてのオブジェクトを格納します。

スキーママッピング

次のアイデンティティボールトのユーザ、グループ、および部門の属性は、Active Directoryユーザおよびグループ属性にマップされます。

表に示すマッピングは、デフォルトのマッピングです。同じタイプの属性を再マップできます。

Table 1-3 すべてのクラス向けにマップされる属性

eDirectory	Active Directory
CN	cn
説明	description
Fax番号	facsimiletelephoneNumber
フルネーム	displayName
名前	givenName
イニシャル	initials
インターネット電子メールアドレス	mail
L	physicalDeliveryOfficeName
地域	locality
ログインの無効化	dirxml-uACAccountDisabled
アカウントの有効期限	accountExpires
物理配信局名	l
郵便番号	PostalCode
私書箱	postOfficeBox
S	st
SA	streetAddress
関連項目	seeAlso
名字	sn
電話番号	telephoneNumber
役職	title

eDirectoryのL属性はActive DirectoryのphysicalDeliveryOfficeName属性にマップされ、eDirectoryのPhysical Delivery Office Name (物理配信局名)属性はActive DirectoryのL属性にマップされます。同じような名前のフィールドに同じ値が設定されているため、このように属性をマップすると、属性がConsoleOneやMicrosoft管理コンソールで有効に機能できます。

Table 1-4 ユーザ向けにマップされる属性

eDirectory	Active Directory
CN	userPrincipalName
DirXML-ADAliasName	sAMAccountName
Login Allowed Time Map (ログイン許容時間マップ)	logonHours

Table 1-5 マップされる部門属性

eDirectory	Active Directory
部門	organizationalUnit
OU	ou

ネームマッピングポリシー

デフォルトの環境設定には、連携する2つのネームマッピングポリシーが用意されています。これらのポリシーにより、アイデンティティボールトとActive Directoryの間の異なるネーミングポリシーを調整できます。「Active Directoryユーザとコンピュータ」ツール(Microsoft管理コンソールのスナップイン、このマニュアルでの略称: MMC)でユーザを作成すると、ユーザフルネームがそのオブジェクト名として使用されることがわかります。ユーザオブジェクトの属性では、Windows 2000以前のログオン名(別名: NTログオン名またはsAMAccountName)およびWindows 2000ログオン名(別名: userPrincipalName)が定義されます。iManagerまたはConsoleOneでアイデンティティボールトにユーザを作成すると、オブジェクト名とユーザログオン名は同じになります。

MMCを使用してActive Directoryに一部のユーザを作成し、アイデンティティボールトまたはアイデンティティボールトと同期する別の接続システムにその他のオブジェクトを作成すると、相手側のコンソールではオブジェクトが正しく表示されないことがあり、相手側のシステムでオブジェクトを作成できない場合があります。

The Full Name Mapping Policy is used to manage objects in Active Directory using the MMC conventions. このポリシーが有効にされると、アイデンティティボールト内のフルネーム属性はActive Directory内のオブジェクト名と同期されます。

NTログオン名マッピングポリシーは、アイデンティティボールトの規則に従ってActive Directory内のオブジェクトを管理するために使用されます。このポリシーが有効にされると、アイデンティティボールト内のオブジェクト名は、Active Directory内のオブジェクト名およびNTログオン名の両方と同期するために使用されます。Active Directory内のオブジェクトはアイデンティティボールトと同じ名前が付けられ、NTログオン名はアイデンティティボールトのログオン名と一致します。

両方のポリシーが同時に有効にされると、Active Directoryオブジェクト名はアイデンティティボールトのフルネームになりますが、NTログオン名はアイデンティティボールトのログオン名と一致します。

両方のポリシーが無効にされると、特別なマッピングは作成されません。オブジェクト名は同期されますが、NTログオン名を作成するための特別なルールはありません。NTログオン名はActive Directoryの必須属性であるため、追加操作中にNTログオン名を生成する何らかの方式が必要です。NTログオン名(sAMAccountName)はアイデンティティボールト内のDirMXL-ADAliassNameにマップされるので、その属性を使用してActive Directory内のNTログオン名を制御するか、または購読者作成ポリシーに独自のポリシーを構築してNTログオン名を生成することができます。このようなポリシー選択によって、MMCで作成されたユーザは、オブジェクト名としてアイデンティティボールト内の、MMCで生成されたオブジェクト名を使用します。この名前は、ボールトへのログインには使用できない場合があります。

Windows 2000ログオン名ポリシー

Windows 2000ログオン名(別名: userPrincipalNameまたはUPN)に直接対応する名前は、アイデンティティボールトにはありません。UPNは、電子メールアドレス(user@mycompany.com)のように見え、実際にユーザの電子メール名である場合があります。UPNで作業する際には、ドメインを正しく使用する目的で設定されているドメイン名(@記号の後の部分)を使用する必要があることを覚えておいてください。MMCを使用してユーザを作成し、UPNを追加するときにドメイン名のドロップダウンボックスを調べると、どのドメイン名が許可されているかがわかります。

デフォルトの環境設定には、userPrincipalNameを管理するための選択肢がいくつか用意されています。ユーザの電子メールアドレスをuserPrincipalNameとして使用できるようにドメインを設定する場合は、ユーザの電子メールアドレスを追跡するオプションのいずれかが適しています。アイデンティティボールトまたはActive Directoryの電子メールアドレスに従ってuserPrincipalNameを設定できます。従うアドレスは、どちらの電子メールが信頼できるかによって異なります。ユーザ電子メールアドレスが適切でない場合は、userPrincipalNameをユーザログオン名とあらかじめ準備されているドメイン名から作成できます。複数の名前を使用できる場合は、インポート後にポリシーを更新して選択します。こうしたオプションのどれも適切でない場合は、デフォルトのポリシーを無効にして独自のポリシーを作成できます。

エンタイトルメント

エンタイトルメントにより、Identity ManagerをeDirectoryのIdentity Managerユーザアプリケーションや役割ベースのサービスと簡単に統合できます。ユーザアプリケーションを使用すると、Active Directory内のアカウントの提供のようなアクションは、正当な承認が得られるまで遅延されます。役割ベースのサービスを使用すると、正規のグループメンバーシップではなく、ユーザオブジェクトの属性に基づいて権限が割り当てられます。このどちらのサービスでも課題が生じます。その理由は、オブジェクトの属性からでは、承認が与えられているか、またはユーザが役割に適合するかが明らかにならないためです。

エンタイトルメントにより、アイデンティティボールト内のオブジェクトに関するこの情報を記録する方式が標準化されます。ドライバの観点からは、エンタイトルメントにより、Active Directory内の何らかの項目に権限が与えられたり取り消されたりします。エンタイトルメントを使用すると、Active Directory内のアカウントへの権限の付与、グループメンバーシップの制御、およびExchangeメールボックスの提供を行うことができます。ドライバでは、ユーザアプリケーションや役割ベースのエンタイトルメントは意識されません。独自のルールに基づく、ユーザのエンタイトルメントの付与または取り消しは、ユーザアプリケーションサーバまたはエンタイトルメントドライバに依存します。

ドライバでユーザアプリケーションまたは役割ベースエンタイトルメントを使用する場合に限り、ドライバのエンタイトルメントを有効にしてください。