4.3 環境設定パラメータ

次の表は、最初のドライバ環境設定時に指定する必要があるパラメータを示しています。

NOTE:パラメータは複数の画面で提示されますが、前のプロンプトに対する回答で、ポリシーを正しく設定するために詳細な情報が必要な場合は、一部のパラメータのみが表示されます。

Table 4-1 環境設定パラメータ

フィールド

説明

ドライバ名

このドライバに割り当てられるeDirectory™オブジェクト名。

各Active Directoryドメインには個別のドライバが必要となるため、ドライバ名にドメイン名を含める必要があります。ドライバを調べると、それがどのドメインに関連付けられているかがわかります。

認証方式

Active Directoryで認証する方式。

[ネゴシエーション]が、優先される方式です。Microsoftセキュリティパッケージを使用して認証をネゴシエートする場合に[ネゴシエーション]を選択しします。[ネゴシエーション]を使用するには、ドライバをホストするサーバがドメインのメンバーである必要があります。

パスワード同期を使用してメンバーサーバで実行している場合は、SSLが必要です。

[シンプル]では、LDAPの単純なバインドを使用します。[シンプル]を選択する場合は、SSLをお勧めします。

IMPORTANT:[シンプル]バインドでは、パスワード同期およびExchangeプロビジョニングをサポートしていません。

認証ID

Identity Managerで使用される管理者特権を備えたActive Directoryアカウント。使用される名前形式は、選択した認証メカニズムによって異なります。

[ネゴシエーション]の場合は、Active Directory認証メカニズムで必要な名前形式を指定します。次に例を示します。

  • 管理者 - ADログオン名
  • ドメイン/管理者 - ドメイン修飾ADログオン名

[シンプル]の場合は、LDAP IDを指定します。次に例を示します。

  • cn=DirXML,cn=Users,DC=domain,dc=com

認証パスワード

認証IDで指定したユーザアカウントのパスワード。

認証コンテキスト

同期に使用するActive Directoryドメインコントローラの名前。

たとえば、[ネゴシエーション]認証方式の場合は、DNS名mycontroller.domain.comを使用します。[シンプル]認証方式の場合は、サーバのIPアドレス(10.10.128.23またはDNS名)を使用できます。

値を指定しない場合は、localhostが使用されます。

NOTE:この値は、認証コンテキスト属性に保存されます。最初の環境設定後にこの値を変更するには、セキュリティパラメータにある説明に従ってこの属性を変更します。

ドメイン名

このドライバで管理されるActive Directoryドメイン。

ドライバでは、LDAP形式のドメイン名dc=domain,dc=comが必要です。

ドメインDNS名

このドライバで管理されるActive DirectoryドメインのDNS名。

ドライバでは、DNS形式のドメイン名domain.comが必要です。

ドライバのポーリング間隔

アイデンティティボールトからActive Directoryに変更がそのまま送信されます。ただし、Active Directoryに対する変更は、設定されたポーリング間隔と同じ頻度でのみアイデンティティボールトに送信されます。デフォルトは1分です。

IMPORTANT:このポーリング間隔は、システム パフォーマンスに影響します。ポーリング間隔が短いと、データが頻繁に検索され、早く更新されます。ポーリング間隔が長いと、トラフィックが周期的に増大します。ポーリング間隔の短い方が全体的なコストは大きくなりますが、コストは時間の経過とともに均一になります。

ポーリング間隔を0 (ゼロ)に設定すると、10秒間隔になります。

パスワード同期のタイムアウト(分)

ドライバがパスワードの同期を試みる時間(分)。

どんなパスワードの一時的なバックログでも処理できる十分に大きい値を設定します。一括変更する場合は、すべての変更を処理できるようにタイムアウトを大きく設定します。経験的には、パスワードあたりに1秒を考慮します。たとえば、18,000のパスワードを同期するには、300分(18,000パスワード/60秒)を考慮します。

-1を設定すると無期限になります。この設定で一括変更を処理できますが、問題が生じる場合があります。たとえば、アカウントが関連付けられていないため、パスワードを同期できないことがあります。したがって、そのようなパスワードは永久にシステムに残ります。同様の状況が数多い場合、同期されていない大量のパスワードはシステムで保持することになります。

パスワード同期のタイムアウトを少なくともポーリング間隔の3倍に設定する必要があります。

ドライバの選択(ローカル/リモート)

[リモート]を選択してリモートローダサービス用にドライバを設定するか、または[ローカル]を選択して、ローカル用にドライバを設定します。

リモートホスト名とポート

[リモート]オプションのみ。

リモートローダサービスがインストールされてこのドライバ用に実行しているホストの名前またはIPアドレスとポート番号。デフォルトのポートは8090です。

この設定は、[ドライバの選択(ローカル/リモート)]を[リモート]に設定した場合にのみ表示されます。

ドライバパスワード

[リモート]オプションのみ。

ドライバオブジェクトパスワードは、リモートローダがIdentity Managerサーバに対して自身の認証を求めるときに使用されます。このパスワードには、リモートローダ上のドライバオブジェクトパスワードと同じパスワードを指定する必要があります。

この設定は、[ドライバの選択(ローカル/リモート)]を[リモート]に設定した場合にのみ表示されます。

リモートパスワード

[リモート]オプションのみ。

リモートローダインスタンスへのアクセスを制御するために、リモートローダのパスワードが使用されます。このパスワードには、リモートローダ上のリモートローダパスワードと同じパスワードを指定する必要があります。

この設定は、[ドライバの選択(ローカル/リモート)]を[リモート]に設定した場合にのみ表示されます。

インポート作業は、ドライバポリシーの選択に進みます

[リモート]オプションのみ。

[OK]をクリックすると、ドライバウィザードがドライバのポリシーの環境設定を続行します。

eDirectoryのベースコンテナ

同期に備えてアイデンティティボールトのベースコンテナを指定します。このコンテナは、アイデンティティボールトブジェクトの同期を制限する購読者一致ポリシー、およびアイデンティティボールトにオブジェクトを追加するときの発行者配置ポリシーで使用されます。

新規ユーザは、デフォルトではこのコンテナに格納されます。ドット形式を使用してください。例:

users.myorg

コンテナが存在しない場合は、それを作成し、Active Directoryベースコンテナに関連付けられていることを確認してから、このコンテナにユーザを追加する必要があります。

発行者の配置

[ミラーリング済み]では、オブジェクトがベースコンテナ内に階層的に配置されます。

[平面]では、オブジェクトがベースコンテナ内に階層なしで完全に配置されます。

この選択により、デフォルトの発行者配置ポリシーが構築されます。

NOTE:[ミラーリング済み]を選択した場合、ドライバでは、eDirectoryデータベースの構造がeDirectoryベースコンテナのActive Directoryでの構造と同じであると見なします。構造が同じでない場合、オブジェクトは正しく配置されません。eDirectory内の構造と同じ構造をActive Directoryで作成するか、またはeDirectoryコンテナを移行してからユーザオブジェクトを移行します。

Active Directoryのベースコンテナ

Active DirectoryのベースコンテナをLDAP形式で指定します。新規ユーザは、デフォルトではこのコンテナに格納されます。例:

CN=Users,DC=MyDomain,DC=com

ターゲットコンテナが存在しない場合は、それを作成し、eDirectoryベースコンテナに関連付けられていることを確認してから、このコンテナにユーザを追加する必要があります。

Active Directoryのユーザ以外のコンテナを作成または使用している場合、コンテナはCNではなくOUです。例:

OU=Sales,OU=South,DC=MyDomain,DC=com

Active Directoryの配置

[ミラーリング済み]では、オブジェクトがベースコンテナ内に階層的に配置されます。

[平面]では、オブジェクトがベースコンテナ内に階層なしで完全に配置されます。

この選択により、デフォルトの購読者配置ポリシーが構築されます。

NOTE:[ミラーリング済み]を選択した場合、ドライバでは、Active Directoryデータベースの構造がActive DirectoryベースコンテナのeDirectoryでの構造と同じであると見なします。構造が同じでない場合、オブジェクトは正しく配置されません。Active Directory内の構造と同じ構造をeDirectoryで作成するか、またはActive Directoryコンテナを移行してからユーザオブジェクトを移行します。

データフローの設定

[データフローの設定]では、同期される属性およびクラスを制御する最初のドライバフィルタを確立します。このオプションの目的は、一般的なデータフローポリシーを最もよく表すようにドライバを設定することです。特定の要件を反映するように、このオプションをインポート後に変更できます。

[Bidirectional (双方向)]では、発行者チャネルと購読者チャネルの両方で同期するようにクラスと属性を設定します。アイデンティティボールトまたはActive Directoryでの変更は相手側に反映されます。両方を信頼されるデータソースにしたい場合に、このオプションを使用します。

[ADからボールトへ]では、発行者チャネルだけで同期するようにクラスと属性を設定します。Active Directoryでの変更はアイデンティティボールトに反映されますが、アイデンティティボールトでの変更は無視されます。Active Directoryを信頼されるデータソースにしたい場合に、このオプションを使用します。

[ボールトからADへ]では、購読者チャネルだけで同期するようにクラスと属性を設定します。アイデンティティボールトでの変更はActive Directoryに反映されますが、Active Directoryでの変更は無視されます。ボールトを信頼されるデータソースにしたい場合に、このオプションを使用します。

WARNING:削除。「移動」イベントと「リネーム」イベントはフィルタとは無関係です。どのオプションを選択するかにかかわらず、これらのイベントはドライバで処理されます。これらのイベントを同期させない場合は、ドライバのデフォルトの環境設定を変更する必要があります。

Identity Manager 3.0に付属している定義済みのポリシーのいずれかを使用して、「削除」イベントを「関連付けを削除」イベントに変更できます。詳細については、『Policy Builder and Driver Customization Guide』の「Command Transformation - Publisher Delete to Disable」を参照してください。

「移動」イベントと「リネーム」イベントをブロックするには、ドライバをカスタマイズする必要があります。

パスワードの障害を通知するユーザ

パスワード同期のポリシーは、パスワードの更新に失敗したときに電子メール通知を関連ユーザに送信するように設定されています。選択によって通知電子メールのコピーを別のユーザ(セキュリティ管理者など)に送信できます。コピーを送信する場合は、そのユーザのDNを入力または参照します。送信しない場合は、このフィールドを空白のままにします。

エンタイトルメントの設定

ドライバを設定すれば、エンタイトルメントを使用してActive Directoryのユーザアカウントやグループメンバーシップを管理したり、Exchangeメールボックスをプロビジョニングすることができます。エンタイトルメントを使用すると、ドライバは、Identity Managerユーザアプリケーションまたは役割ベースエンタイトルメントなどの外部サービスと連動して、これらの機能をActive Directoryでプロビジョニング/プロビジョニング解除する条件を制御します。詳細については、エンタイトルメント を参照してください。

このいずれかの外部サービスを利用してActive Directoryへのプロビジョニングを制御する場合は、[はい]を選択します。

Identity Managerユーザアプリケーションの使用およびExchangeメールボックスのプロビジョニングを行わない場合は、[いいえ]を選択します。

ユーザアカウントポリシー

[要素]オプションだけを設定します。

Active Directoryでのユーザアカウントは、ワークフローサービスや役割ベースエンタイトルメントとエンタイトルメントの併用、または同期により制御できます。

[エンタイトルメント]により、アイデンティティボールト内のエンタイトルメントに対するActive Directoryのアカウントの有効化を制御できます。

[ポリシーで実装する]では、エンタイトルメントの代わりにドライバでポリシーを使用します。

Exchangeポリシー

[要素]オプションだけを設定します。

Exchangeプロビジョニングは、ドライバポリシーまたはエンタイトルメントで処理するか、あるいはすべてスキップすることができます。ユーザ(メールボックスが有効なユーザ)にExchangeのメールボックスを割り当てるか、またはユーザ(メールボックスが有効なユーザ)が外部メールボックスに関する情報をアイデンティティボールトレコードに格納させることができます。ドライバポリシーを使用する場合は、ユーザに対してメールボックスまたはメールのどちらを有効にするかの決定、およびアカウントが存在するExchangeメッセージデータベースは、ポリシーで完全に制御されます。

[エンタイトルメント]を使用すると、ワークフローサービスや役割ベースエンタイトルメントのような外部サービスでこうした決定が行われ、ドライバポリシーはそれらに適用されるだけです。

[ポリシーで実装する]では、エンタイトルメントの代わりにドライバでポリシーを使用してExchangeメールボックスが割り当てられます。

[なし]が選択されると、デフォルトの環境設定ではExchangeメールボックスは作成されず、Active Directoryメール属性でアイデンティティボールトインターネット電子メールアドレスが同期されます。

グループメンバーシップポリシー

[要素]オプションだけを設定します。

Active Directoryでのグループメンバーシップは、メンバーシップリストを同期するか、エンタイトルメントを使用して制御できます。

[エンタイトルメント]では、ワークフローサービスまたは役割ベースエンタイトルメントを使用してグループメンバーシップが割り当てられます。

[同期]では、ポリシーを使用してグループメンバーシップリストが同期されます。

[なし]では、グループメンバーシップ情報が同期されません。

CDOEXM for Exchangeを使用する(はい/いいえ)

[Exchangeポリシー]オプションのみ。

Exchangeメールボックスは、正規の属性同期ではなくMicrosoft Exchange管理システムの呼び出しによって制御できます。有効にすると、ドライバシムはActive DirectoryのhomeMDB属性への変更を行わずに、CDOEXM (Collaboration Data Objects for Exchange Management)サブシステムを呼び出します。

ここで選択した値は、ドライバシムの環境設定に記録されます。

[はい]では、Exchangeメールボックスが同期されます。

[いいえ]では、Exchangeメールボックスが同期されません。

CDOEXMでExchangeメールボックスを移動できるようにする(はい/いいえ)

[Exchangeポリシー]オプションのみ。

有効にすると、ドライバシムはActive DirectoryのhomeMDB属性を変更せずに、CDOEXMを呼び出すことでメールボックスを新しいメッセージデータストアに移動します。

[はい]では、Exchangeメールボックスが移動されます。

[いいえ]では、Exchangeメールボックスが移動されません。

CDOEXMでExchangeメールボックスを削除できるようにする(はい/いいえ)

[Exchangeポリシー]オプションのみ。

有効にすると、ドライバシムはActive DirectoryのhomeMDB属性を削除せずに、CDOEXMを呼び出すことでメールボックスを削除します。

[はい]では、Exchangeメールボックスを削除できます。

[いいえ]では、Exchangeメールボックスを削除できません。

デフォルトのExchange MDB

[Exchangeポリシー]>[ポリシーで実装する]オプションのみ。

デフォルトのExchangeメッセージデータベース(MDB)を入力します。例:

[CN=Mailbox Store (CONTROLLER),CN=First Storage Group,CN=InformationStore,CN=CONTROLLER,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Domain,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Domain,DC=com]

インポートが完了したら、追加MDBを管理するためにドライバを更新できます。

アカウントのエンタイトルメントが取り消された場合

[Exchangeポリシー]オプションのみ。

エンタイトルメントでユーザアカウントを削除するときに実行するアクションを選択できます。

アカウントを無効にする

アカウントを削除する

ネームマッピングポリシーの選択 >

ドライバにより、アイデンティティボールトのフルネーム属性がActive Directoryのオブジェクト名にマップされ、Active Directoryの旧Windows 2000ログオン名がアイデンティティボールトユーザ名にマップされます。

ポリシーのフル機能を受諾することも、ポリシーの一部を手動選択することもできます。ポリシーがニーズを満たしていない場合は、インポート完了後に購読者および発行者のコマンド変換ポリシーのNameMapポリシーを編集することで、ポリシーを変更できます。

[受諾]では、ポリシーのフル機能が使用されます。

[手動]では、ポリシーの一部を使用できます。

フルネームでマッピング

[ネームマッピングポリシーの選択]>[手動]オプションのみ。

[はい]では、ドライバで、アイデンティティボールトの[フルネーム]属性とActive Directoryのオブジェクト名および表示名との同期を維持できます。

[いいえ]では、ドライバで、アイデンティティボールトの[フルネーム]属性とActive Directoryのオブジェクト名および表示名との同期は維持されません。

このポリシーは、Microsoft管理コンソールの「ユーザとコンピュータ」スナップインを使用して、ユーザアカウントをActive Directory内に作成するときに役立ちます。

ログオン名でマッピング

[ネームマッピングポリシーの選択]>[手動]オプションのみ。

[はい]では、ドライバで、アイデンティティボールトのオブジェクト名とActive Directoryの旧Windows 2000ログオン名(別名: NTログオン名およびsAMAccountName)との同期を維持できます。

[いいえ]では、ドライバで、アイデンティティボールトのオブジェクト名とActive Directoryの旧Windows 2000ログオン名との同期は維持されません。

Import will proceed to Windows 2000 logon name policy selections (インポート作業はWindows 2000ログオン名ポリシーの選択に進みます)

[ネームマッピングポリシーの選択]>[手動]オプションのみ。

OK

ユーザプリンシパル名のマッピング

Active DirectoryのWindows 2000ログオン名(別名: userPrincipalName)の管理方法を選択できます。userPrincipalNameは、「usere@domain.com」のような電子メールアドレス形式にします。シムでは、userPrincipalNameに任意の値を配置できますが、名前を使用したドメイン名を受け付けるようにドメインが設定されていないと、ログオン名としては使い勝手が悪くなります。

[Active Directoryの電子メールアドレスに従う]では、userPrincipalNameがActive Directoryのメール属性値に設定されます。このオプションは、認証にユーザの電子メールアドレスを使用する場合や、Active Directoryで電子メールアドレスが信頼される場合に役立ちます。

[アイデンティティボールトの電子メールアドレスに従う]では、userPrincipalNameがアイデンティティボールトの電子メールアドレス属性値に設定されます。このオプションは、認証にユーザの電子メールアドレスを使用する場合や、アイデンティティボールトで電子メールアドレスが信頼される場合に役立ちます。

[アイデンティティボールト名に従う]は、ユーザログオン名とポリシーに定義されたハードコード文字列からuserPrincipalNameを生成する場合に役立ちます。

[なし]は、userPrincipalNameを制御しない場合や独自のポリシーを実装する場合に役立ちます。