Der Filter steuert den Datenfluss zwischen dem Identitätsdepot und dem verbundenen System. Der Filter spielt in einer Identity Manager-Treiberkonfiguration verschiedene Rollen. Abbildung 6-1 zeigt den Filter an vier Stellen, die die meisten seiner Rollen darstellen, doch es gibt eigentlich nur einen Filter für den Treiber.
Während die Kanäle den Datenfluss zulassen, werden Richtlinien und Filter in den Kanälen platziert, um zu regulieren, was durchkommt und wie es bei Ankunft am Ziel aussieht. Beispielsweise können Sie durch Konfigurieren des Treiberfilters einen Attributwert blockieren, sodass zum Beispiel eine Telefonnummer vom verbundenen System nicht im Identitätsdepot ankommt und umgekehrt. Dadurch kann gesteuert werden, ob das Identitätsdepot oder das verbundene System die autorisierte Quelle zum Erfüllen bestimmter Geschäftsanforderungen ist. Wenn beispielsweise der Filter für die Beziehung zwischen dem PBX-System und dem Identitätsdepot es zulässt, dass die Telefonnummer eines Mitarbeiters vom PBX-System in das Identitätsdepot, jedoch nicht vom Identitätsdepot zum PBX-System fließt, ist das PBX-System die autorisierte Quelle für die Telefonnummer. Wenn alle anderen Beziehungen verbundener Systeme zulassen, dass die Telefonnummer vom Identitätsdepot zu den verbundenen Systemen fließt, jedoch nicht in die umgekehrte Richtung, bedeutet dies, dass das PBX-System die einzige autorisierte Quelle für Telefonnummern von Mitarbeitern im Unternehmen ist.
Der Treiberfilter gibt die Klassen der Objekte und die Attribute dieser Objekte an, für die das Identitätsdepot Ereignisse und Befehle für beide Kanäle verarbeitet. Er gibt der Metaverzeichnis-Engine Anweisungen zu Ereignissen und Informationen, die für die Konfiguration des Treibers von Interesse sind. Auf seiten des Identitätsdepots werden Ereignisse für den Treiber in die Warteschlange gestellt, wenn sie mit einer Objektklasse im Filter übereinstimmen und wenn sie mit einem Attribut übereinstimmen, das auf „Synchronisieren“, „Benachrichtigen“ oder „Zurücksetzen“ festgelegt wurde. Ereignisse, die im Identitätsdepot auftreten und nicht mit den im Filter angegebenen Datentypen übereinstimmen, werden von diesem Treiber ignoriert. Bei der Anwendung ist es ähnlich, d. h., aufgetretene Ereignisse, die nicht mit den im Filter angegebenen Filtertypen übereinstimmen, werden ignoriert. Allerdings muss das Schnittstellenmodul diese Ereignisse möglicherweise doch noch überprüfen, um festzustellen, ob sie verarbeitet werden müssen. Wenn beispielsweise der Identity Manager-Treiber nur Benutzerinformationen synchronisieren sollte, gibt der Filter Benutzerobjekte an und die Änderung in andere Identitätsdepotobjekte wird ignoriert. Von den möglichen Benutzerklassenattributen gibt der Filter die ausgewählten Attribute an, wie zum Beispiel CN, Vorname, Nachname und Telefonnummer. Änderungen in andere Benutzerklassenattribute werden ignoriert. Die Benutzerobjektklasse und der Satz der entsprechenden Datenattribute werden für die meisten verbundenen Systeme im Filter aufgeführt.
Wenn im Herausgeberkanal ein Ereignis einmal für die Verarbeitung im Kanal in die Warteschlange gestellt wurde und die Eingabetransformation, die Schemazuordnung und die Ereignistransformation durchlaufen hat, dann werden die Synchronisierungsattribute aus dem Eingabedokument ausgewählt und alle Attribute, die nicht auf „Synchronisieren“ oder „Benachrichtigen“ festgelegt wurden, werden entfernt. Attribute, die auf „Zurücksetzen“ festgelegt wurden, werden auch durch Abfragen des Identitätsdepots nach dem korrekten Wert verarbeitet. Der korrekte Wert wird an die Anwendung zurückgesendet, um die gerade vorgenommene Änderung rückgängig zu machen. Im Abonnentenkanal arbeitet der Synchronisierungsfilter genauso wie für den Herausgeberkanal. Der einzige Unterschied besteht darin, dass Ereignisse vom Identitätsdepot anstatt vom verbundenen System kommen.
Mit dem Benachrichtigungsattribut können Sie Attributdaten vom Ereignisdokument verwenden, ohne die Daten mit dem Identitätsdepot synchronisieren zu müssen. Sie benötigen beispielsweise den Vornamen, zweiten Vornamen und Familiennamen einer Person aus dem HR-System, um ein Konto zu erstellen, möchten aber den zweiten Vornamen nicht im Identitätsdepot speichern. Wenn Sie das Attribut des zweiten Vornamens auf „Benachrichtigen“ festlegen, können Sie auf den Attributwert zugreifen, ohne ihn im Identitätsdepot speichern zu müssen. Alle auf „Benachrichtigen“ festgelegten Attribute werden vor der Übermittlung an das Ziel aus dem Dokument entfernt.