23.2 ドライバ環境設定

ドライバ環境設定セクションでは、ドライバ固有のパラメータ、エンジン制御値、グローバル構成値などを設定できます。ドライバパラメータを変更する場合は、ネットワーク環境と協調するようにドライバの振る舞いを調整します。このセクションは、次のカテゴリで構成されています。

23.2.1 ドライバパラメータ

ドライバパラメータは、ドライバ設定、購読者設定、および発行者設定に分かれています。これらの設定は、ドライバの環境設定に基づいて入力されます。ドライバパラメータの詳細については、「Identity Managerドライバマニュアル」の特定のドライバガイドを参照してください。

完了したら、をクリックしてパラメータを保存できます。パラメータをデフォルト値に設定する場合は、アイコンをクリックします。XMLファイルを使用してドライバ環境設定を変更するには、アイコンをクリックします。

23.2.2 グローバル構成値

グローバル環境設定オブジェクトの順序付きリストを表示します。オブジェクトには、ドライバの起動時にIdentity Managerがロードするドライバの拡張GCV定義が含まれています。XMLエディタを使用して、[グローバル構成値]タブのオブジェクトを表示または変更できます。アイコンをクリックして、GCVを保存します。GCVのリストを更新するには、アイコンをクリックします。GCVを削除するには、適切なGCVオブジェクトを選択し、アイコンをクリックします。

23.2.3 エンジン制御値

エンジン制御値は、Identity Managerエンジンのデフォルトの特定の振る舞いを変更できる方法です。これらの値には、サーバがドライバセットオブジェクトと関連付けられている場合のみアクセスできます。

オプション

説明

購読者チャネル再試行間隔(秒単位)

購読者チャネル再試行間隔では、アプリケーションシムの購読者オブジェクトから再試行ステータスが戻された後で、Identity Managerエンジンがキャッシュ済みトランザクションの処理を再試行する頻度を制御します。

DN構文属性値の完全修飾フォーム

DN構文属性値の修飾指定では、DN構文属性値を非修飾スラッシュ形式で表すか、完全修飾スラッシュ形式で表すかを制御します。Trueの設定は、値が修飾形式で表わされていることを意味します。

名前変更イベント用の修飾形式

名前変更イベント用の修飾形式では、名前変更イベントのアイデンティティボールトから取得する新しい名前の部分をタイプ識別子とともに購読者チャネルに表示するかどうかを制御します。たとえば、「CN=」というようになります。Trueの設定は、名前が修飾形式で表わされていることを意味します。

最大eDirectory複製待機時間(秒単位):

この設定は、ローカルレプリカとリモートレプリカの間で複製される特定の変更をIdentity Managerエンジンが待機する最大時間を制御します。これは、操作を実行するために同じツリーにあるリモートeDirectory得サーバに、Identity Managerエンジンが接続する必要があり、操作(Identity Managerサーバが移動オブジェクトのマスタレプリカを保持していないときのオブジェクト移動、テンプレートから作成されたユーザのファイルシステムの権利操作など)が完了する前にリモートサーバとの間で変更が複製されるのを待機する必要がある場合にのみ作用します。

XSLT未準拠バックワード互換モードの使用

このコントロールは、Identity Managerエンジンが使用するXSLTプロセッサをバックワード互換モードに設定します。バックワード互換モードにより、XPath 1.0およびXSLT 1.0標準に準拠しない1つまたは複数の動作がXSLTプロセッサで使用されます。これは、非規格の振る舞いに依存する既存のDirXMLスタイルシートとの後方互換性のために行われます。

たとえば、1つのオペランドがノードセットであり、もう一方のオペランドがノードセット以外であるときのXPath "!="演算子の動作はIdentity Manager 2.0までのDirXMLリリースでは不正です。この振る舞いは修正されましたが、修正された振る舞いは、既存のDirXMLスタイルシートとの後方互換性を確保するために、この制御により無効に設定されています。

一度に移行するアプリケーションオブジェクトの最大数

このコントロールは、アプリケーションからのオブジェクトの移行操作の一部として実行される1回のクエリの間に、Identity Managerエンジンがアプリケーションから要求するアプリケーションオブジェクトの数を制限するために使用します。

アプリケーションからの移行操作中に、java.lang.OutOfMemoryErrorエラーが発生する場合、この数はデフォルト値より少なくする必要があります。デフォルトは50です。

メモ:このコントロールによって移行できるアプリケーションオブジェクト数は制限されません。バッチサイズが制限されるだけです。

アイデンティティボールトに作成されたオブジェクトにcreatorsNameを設定する

このコントロールは、このドライバによりアイデンティティボールトに作成されたすべてのオブジェクトのこのドライバのDNにcreatorsName属性を設定するかどうかを決定するために、Identity Managerエンジンによって使用されます。

creatorsName属性を設定すると、このドライバによってされたオブジェクトを容易に識別できるようになりますが、パフォーマンス上のペナルティも発生します。この属性を設定しない場合、creatorsName属性は、デフォルトで、ドライバをホストするNCPサーバオブジェクトのDNに設定されます。

保留中の関連付けの書き込み

このコントロールは、購読者チャネルでの処理中にIdentity Managerで保留中の関連付けをオブジェクトに書き込むかどうかを判断します。

保留中の関連付けを書き込むメリットはほとんど(またはまったく)ないにもかかわらず、パフォーマンスには悪影響を与えてしまいます。それにもかかわらず、後方互換性のためにこれをオンにするオプションが存在しています。

パスワードイベント値の使用

このコントロールは、購読者チャネルの追加および変更イベント用にnspmDistributionPassword属性に対して報告された値のソースを判断します。

このコントロールをFalseに設定すると、nspmDistributionPasswordの現在の値が取得され、属性イベントの値として報告されます。つまり、現在のパスワード値のみが利用可能です。これはデフォルトの動作です。

このコントロールをTrueに設定すると、eDirectoryイベントとともに記録された値が復号化され、属性イベントの値として報告されます。つまり、イベントの際に、古いパスワード値(存在する場合)と置換用パスワード値の両方が利用可能です。これは、新しいパスワードを設定できるようにするために古いパスワードが必要な特定のアプリケーションとパスワードを同期する場合に便利です。

Retry Out of Band events(アウトオブバンドイベントの再試行)

このコントロールは、アウトオブバンド同期イベントの再試行ステータスを受信した場合に、アウトオブバンド同期イベントを再試行するかどうかを決定します。

コントロールがFalseに設定されている場合、アウトオブバンド同期は再試行されません。この値がtrueに設定されている場合、アウトオブバンド同期は正常に試行されるまで再試行されます。

Use Rhino ECMAScript engine(Rhino ECMAScriptエンジンの使用)

Identity ManagerエンジンがRhino ECMAScriptエンジンを使用するかどうかを決定します。エンジンは、デフォルトのECMAScriptエンジンとしてRhinoを使用します。

このコントロールをFalseエンジンに設定した場合、このコントロールはデフォルトでTrueになります。この場合、このコントロールはNashormスクリプトを使用します。

購読者サービスチャネルの有効化

Identity Managerエンジンが、ドライバの購読者サービスチャネルでアウトオブバンドクエリを処理するかどうかを決定します。これらのクエリの一般的な例としては、コードマップの更新、データ収集、dxcmdからトリガされたクエリがあります。

このコントロールがtrueに設定されている場合、チャネルはイベントの通常の処理を中断することなく、これらのクエリを個別に処理します。

現在、このコントロールはJDBC Fan-Outドライバ(デフォルトで有効)でのみ使用できます。

パスワード同期ステータス報告の有効化

このコントロールは、購読者チャネルパスワードの変更イベントのステータスをIdentity Managerエンジンが報告するか動かを判断します。

購読者チャネルのパスワード変更イベントのステータスを報告すると、Identity Managerユーザアプリケーションなどのアプリケーションは、接続アプリケーションと同期する必要があるパスワード変更の同期の進行状況を監視することができます。

Combine values from template object with those from add operation(テンプレートオブジェクトの値を追加操作の値と結合する)

この値は、追加操作を実行するときに、Identity Managerエンジンが作成テンプレートと追加操作と同様の値を組み合わせるかどうかを決定します。この値を[True]に設定すると、テンプレートの複数値属性の値のほかに、追加操作で指定されている同じ属性の値も使用されます。この値をFalseに設定すると、追加操作で指定されている同じ属性の値が存在する場合、テンプレートの値は無視されます。

Allow event loopback from publisher to subscriber channel(発行者チャネルから購読者チャネルへのイベントループバックを許可)

この値は、Identity Managerエンジンがドライバの発行者チャネルから購読者チャネルにイベントをループできるかどうかを決定します。この値を[False]に設定すると、Identity Managerエンジンはイベントをループバックできなくなります。この値を[True]に設定すると、Identity Managerエンジンは発行者チャネルから購読者チャネルへイベントをループできるようになります。

Revert to calculated membership value behavior(計算されたメンバーシップ値の振る舞いに戻す)

この値は、Identity Managerエンジンがグループメンバーシップに関連する読み込みおよび検索アクションを実行する際に使用する方法を決定します。

この値を[False](デフォルト設定)に設定すると、Identity Managerエンジンは、アイデンティティボールトオブジェクトのメンバーおよびグループメンバー属性を読み込みまたは検索する際に、「静的」な値のみを返します。静的な値とは、ネストされたグループによる継承された割り当てではなく、グループに対する直接割り当てによってグループメンバーシップを受信したオブジェクトです。

この値を[True]に設定すると、Identity Managerエンジンは、Identity Manager 3.6より前で使用されていた方法に戻ります。3.6より前のバージョンでは、Identity Managerエンジンでメンバーおよびグループメンバー属性を検索すると、「計算された」値すべてが取得されていました。計算された値には、1)静的に割り当てられたメンバーシップまたは2) eDirectoryで使用するネストされたグループ階層計算によって動的に割り当てられたメンバーシップのいずれかであるオブジェクトが含まれています。グループメンバー属性を検索すると、グループに直接割り当てられているオブジェクト、またはネストされたグループによってメンバーシップを割り当てられているオブジェクトがすべて返されます。

Maximum time to wait for driver shutdown in seconds(ドライバのシャットダウンを待機する最大時間(秒))

この設定は、Identity Managerエンジンがドライバの発行者チャネルのシャットダウンを待機する最大時間を制御します。指定した時間間隔内にドライバがシャットダウンされない場合、Identity Managerエンジンはドライバを終了します。

Regular Expression escape meta-characters(正規表現エスケープメタ文字)

このコントロールは、正規表現コンテキストで使用する場合に、ローカル変数を開くときにエスケープされるメタ文字を決定します。エスケープする必要があるすべての文字は、この制御値のカンマ区切りリストとして追加する必要があります。

制御値にメタ文字が存在しない場合、正規表現を含むローカル変数の拡張中にエスケープされません。

このコントロールを使用する場合は、次の条件を満たしてください。

  • 値は空のままにしないこと。デフォルトでは、$が入力されています。この文字は、ローカル変数の拡張に必要です。

  • 値は、有効なカンマ(,)で区切られたリストである必要があります。そうでない場合、ポリシーの評価中にエラーが発生します。

  • すべてのメタ文字をエスケープするには、「\,$,^,.,?,*,+,[,],(,),|」を値として指定します。

  • メタ文字をエスケープする必要がない場合は、その文字を値から削除します。

  • メタ文字をエスケープするには、メタ文字の後にバックスラッシュ(\)を指定します。

Ignore Entitlement Changes of other drivers(他のドライバのエンタイトルメントの変更を無視する)

このコントロールは、Identity Managerエンジンが他のドライバのエンタイトルメントの変更を無視するか処理するか決定します。デフォルト値は「True」です。これは、ドライバが他のドライバのエンタイトルメントの変更を自動的に無視することを意味します。このコントロールが[False]に設定されている場合、他のドライバのエンタイトルメントの変更はキャッシュされ、このドライバによって処理されます。

Allow Entitlement event loopback from cprs to subscriber channel(CPRSから購読者チャネルへのエンタイトルメントイベントのループバックを許可)

このコントロールは、Identity ManagerエンジンがCPRS割り当てによって生成されたエンタイトルメントイベントがドライバの購読者チャネルにループバックすることを許可するかどうかを決定します。デフォルト値は「False」です。これは、イベントが購読者チャネルにループバックされないことを意味します。このコントロールが[True]に設定されている場合、イベントはドライバの購読者チャネルに流れます。

23.2.4 起動オプション

起動オプションでは、Identity Managerサーバの起動時のドライバ状態を設定できます。

  • オートスタート: ドライバは、Identity Managerサーバが起動するたびに起動します。

  • 手動: Identity Managerサーバの起動時にドライバは起動しません。ドライバは、Identity Consoleポータルを使用して起動する必要があります。

  • 無効: ドライバには、すべてのイベントを格納するキャッシュファイルがあります。ドライバを[無効]に設定すると、このファイルは削除され、ドライバの状態が[手動]または[オートスタート]に変更されるまで、新しいイベントはファイルに保存されません。

希望する起動オプションを設定した後、アイコンをクリックして保存します。起動オプションをリセットするには、アイコンをクリックします。

23.2.5 名前付きパスワード

Identity Managerでは、ドライバで使用される複数のパスワードを安全に保存できます。この機能は、名前付きパスワードと呼ばれます。それぞれのパスワードはキー、または名前でアクセスできます。

名前付きパスワードは、ドライバセットまたは個々のドライバに追加できます。ドライバセットの名前付きパスワードは、セット内のすべてのドライバで使用できます。個々のドライバの名前付きパスワードは、そのドライバでのみ使用できます。

ドライバポリシーで名前付きパスワードを使用するには、実際のパスワードではなくパスワードの名前を使用してパスワードを参照します。その後、Identity Managerエンジンからドライバにパスワードが送信されます。この節で説明する名前付きパスワードの保存と復元の方法は、ドライバシムを変更することなく、どのドライバでも使用できます。

新しい名前付きパスワードを追加するには、アイコンをクリックします。既存の名前付きパスワードを削除するには、アイコンをクリックします。リストを保存するには、アイコンをクリックします。

23.2.6 Security Equals (同等セキュリティ)

[同等セキュリティ]ページを使用して、ドライバが明示的に同等セキュリティになっているオブジェクトのリストの表示または変更ができます。このオブジェクトは、実質、リスト内のオブジェクトのすべての権利を持っていることになります。

[同等セキュリティ]リストに新しいオブジェクトを追加するには、アイコンをクリックします。リストにオブジェクトを追加したり、リストからオブジェクトを削除したりすると、システムは自動的に、そのオブジェクトの「同等セキュリティ保有者」プロパティに対してこのオブジェクトが追加されたり削除されたりします。このオブジェクトの[Public]トラスティまたは親コンテナは、リストに追加する必要はありません。これは、このオブジェクトが、暗黙的に[Public]トラスティまたは親コンテナに対して同等セキュリティを持つためです。

このリストから既存のオブジェクトを削除するには、アイコンをクリックします。リストを保存するには、アイコンをクリックします。

23.2.7 除外オブジェクト

このオプションでは、アプリケーションに複製しないオブジェクトのリストを作成できます。管理者の役割を表すオブジェクト(Adminオブジェクトなど)はすべてこのリストに追加しておくことをお勧めします。このリストに新しいオブジェクトを追加するには、アイコンをクリックします。このリストから既存のオブジェクトを削除するには、アイコンをクリックします。リストを保存するには、アイコンをクリックします。

23.2.8 値がある属性のリストの管理

特定のドライバについて値がある属性のリストに属性を追加するには、次の手順を実行します。

  1. Identity Consoleで、[オブジェクト管理]モジュールを選択します。

  2. ドロップダウンリストからDir-XML-Driverタイプを選択し、[検索]ボタンをクリックします。

  3. 検索リストから適切なドライバをクリックします。

  4. 値のない属性を値のある属性のリストに追加するには、[値がある属性]の横のアイコンをクリックし、リストから適切な値のない属性を選択します。

  5. 完了したら、[OK]をクリックします。

図 23-2 ドライバ環境設定の管理