ID同期を行う – 発信同期規則編(3)

 
気づけば、Tech・Ed Japan 2009 開催まで、あと1週間を切りました。
私の登壇日もちょうど来週の今頃です。
 
「T5-306 Identity Lifecycle Manager "2" で実現する統合ID管理」
セッションは金曜日の16:50-18:00という、
普通だったら
・セッションに参加するのはやめて飲みに行こうゼ!
・新幹線の時間のことがあるから帰っちゃおう!
という時間帯ですが、
興味を持っていただき、参加していただければ、とてもうれしいです。
 
 
話は前回の続きです。
発信同期のための、セットと管理ポリシーの設定を行います。
 
■セットの設定
OSRを実行するとき、ILMポータルサイトにあらかじめ作成されているユーザーは
Active Directoryには同期して欲しくありません。
具体的には、Built-in Synchronization AccountとILM管理アカウント
(前の記事でインストールしたときにAdministratorを管理アカウントにしましたね)の2つです。
この2つは、あくまでもILMポータルサイトの中だけで使いたいユーザーなので、
それ以外のユーザーだけがOSRで同期されるようなセットを作成し、
管理ポリシーで指定をしたいと思います。
(ここまでの話を見ると、セットとは要するに「グループ」のようなものです)
 
ILMポータルサイト(http://xxxx/identitymanagement/)から「セット」をクリックします。
 
 
セットの一覧で、「新規」をクリックします。
 
基本情報タブでは、セットの名前を設定します。ここでは、_NonDefaultUsersという名前をつけておきます。
 
動的メンバーシップタブでは、セットのメンバを指定します。
条件として、下の図のような設定を行ってみました。
 
 
設定した条件が意図したものかは、View Membersボタンをクリックして
クエリを実行すれば、確認できます。
 
以上で完了です。残りのウィザード画面は「次へ」を連打して終了しましょう。
 
 
■管理ポリシー(MPR)の設定
MPRでは、ここまで作成したOSR、ワークフロー、セット、すべてを組み合わせて、
どのような発信同期処理を行うかを定義します。
 
ILMポータルサイト(http://xxxx/identitymanagement/)から「管理ポリシー」をクリックします。
 

 
 
管理ポリシーの一覧から、「新規」をクリックします。
 
全般的な情報タブでは、MPRの名前を指定します。ここでは、_MPR-ADDSという名前を設定します。
 
 
要求元と操作タブでは、MPR処理実行の要求を誰からであれば許可するか?(=要求元)と
MPRによって許可する操作(=操作)をそれぞれ指定します。
前回、前々回と発信同期の設定に必要な8つの項目というのを紹介しましたが、この項目での設定は、
1.要求元2.操作 にあたります。
 
 
ターゲットリソースタブでは、MPRによる処理を行う前の状態と後の状態として、許可する状態を指定します。
ただし、今回は「リソースの作成」になるため、処理を行った後の状態だけを指定します。
ここで、_NonDefaultUsersセットを指定することで、既定のユーザーは同期されないように構成できます。
また、「リソースの属性」という設定項目がありますが、同期を許可する属性を指定します。
特に同期させたくない属性がなければ、「すべての属性」を選択しておきます。
発信同期の設定に必要な8つの項目のうち、
この項目での設定は 3.ターゲットの初期状態、4.ターゲットの終了状態、5.権限 にあたります。
 
 
ポリシーワークフロータブでは、MPRで実行するワークフローを指定します。
ここでは、前の手順で作成したワークフロー(_Action-ADDS)を指定します。
なお、複数のワークフローを指定すれば、認証→承認→アクションの順で実行されます。
発信同期の設定に必要な8つの項目のうち、
この項目での設定は 6.認証ワークフロー、7.承認ワークフロー、8.アクションワークフロー にあたります。
 
 
以上でできあがりです。
あとは、ILMポータルサイトで、ユーザーを作成すれば、
その内容がILMデータベース→メタバース→Active Directoryの順にレプリケートされます。
 
次回は、発信同期を実行させ、レプリケートされる様子を実際に確認してみたいと思います。